Controles de Security Hub en Amazon EMR - AWS Security Hub
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito

Controles de Security Hub en Amazon EMR

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon EMR (antes denominado Amazon Elastic MapReduce). Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EMR::Cluster

Regla de AWS Config: emr-master-no-public-ip

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.

Las direcciones IP públicas se designan en el campo PublicIp de la configuración de NetworkInterfaces de la instancia. Este control solo comprueba los clústeres de Amazon EMR que se encuentran en un estado RUNNING oWAITING.

Corrección

Durante el lanzamiento, puede controlar si su instancia en una subred predeterminada o no predeterminada tiene asignada una dirección IPv4 pública. De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como true. Las subredes no predeterminadas tienen el atributo de direcciones IPv4 públicas configurado como false, a menos que lo haya creado el asistente de inicialización de instancias de Amazon EC2. En ese caso, el atributo se establece como true.

Después del lanzamiento, no puede desasociar manualmente una dirección IPv4 pública.

Para corregir un error en el resultado, debe lanzar un nuevo clúster en una VPC con una subred privada que tenga el atributo de direccionamiento público IPv4 establecido como false. Para obtener instrucciones, consulte Lanzamiento de clústeres en una VPC en la Guía de administración de Amazon EMR.

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config: emr-block-public-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si su cuenta está configurada con el bloqueo de acceso público de Amazon EMR. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.

El bloqueo de acceso público de Amazon EMR evita que lance un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de su Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 ::/0, y esos puertos no están especificados como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.

nota

Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

Corrección

Para configurar el bloqueo de acceso público para Amazon EMR, consulte Uso de Bloquear el acceso público de Amazon EMR en la Guía de administración de Amazon EMR.

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12

Categoría: Proteger > Protección de datos > Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::EMR::SecurityConfiguration

AWS Config Regla de: emr-security-configuration-encryption-rest

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en reposo. El control falla si la configuración de seguridad no habilita el cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

Corrección

Para habilitar el cifrado en reposo en una configuración de seguridad de Amazon EMR, consulte Configuración del cifrado de datos en la Guía de administración de Amazon EMR.

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3)

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::EMR::SecurityConfiguration

AWS Config Regla de: emr-security-configuration-encryption-transit

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en tránsito. El control falla si la configuración de seguridad no habilita el cifrado en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

Corrección

Para habilitar el cifrado en tránsito en una configuración de seguridad de Amazon EMR, consulte Configuración del cifrado de datos en la Guía de administración de Amazon EMR.