Controles de Security Hub para Amazon OpenSearch Service - AWS Security Hub
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso públicoLos dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodosDebe estar habilitado el registro de errores del dominio OpenSearch [Opensearch.4] en CloudWatch LogsLos dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoríaLos dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datosLos dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado[Opensearch.8] Las conexiones a los dominios de OpenSearch deben cifrarse mediante la política de seguridad TLS más reciente[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados

Controles de Security Hub para Amazon OpenSearch Service

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon OpenSearch Service (OpenSearch Service). Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-encrypted-at-rest

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de OpenSearch tienen habilitado el cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.

Para obtener una capa adicional de seguridad para la información confidencial, debe configurar su dominio de OpenSearch Service de tal manera que se cifren en reposo. Al configurar el cifrado de los datos en reposo, AWS KMS almacena y administra las claves de cifrado. Para realizar el cifrado, AWS KMS utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el cifrado en reposo de OpenSearch Service, consulte Cifrado de datos en reposo para Amazon OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.

Corrección

Para habilitar el cifrado en reposo para dominios de OpenSearch nuevos y existentes, consulte Habilitación del cifrado de datos en reposo en la Guía para desarrolladores de Amazon OpenSearch Service.

[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC

Gravedad: crítica

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-in-vpc-only

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de OpenSearch están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.

Debe asegurarse de que los dominios de OpenSearch no están asociados a subredes públicas. Consulte Políticas basadas en recursos en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte Prácticas recomendadas de seguridad para su VPC en la Guía del usuario de Amazon VPC.

Los dominios de OpenSearch implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la red privada de AWS, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la posición de seguridad al limitar el acceso a los datos en tránsito. Las VPC proporcionan una serie de controles de red para proteger el acceso a los dominios de OpenSearch, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar los dominios públicos de OpenSearch a VPC para aprovechar estos controles.

Corrección

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe crear otro dominio o deshabilitar este control.

Para conocer las instrucciones, consulte Cómo lanzar los dominios de Amazon OpenSearch Service dentro de una VPC en la Guía para desarrolladores de Amazon OpenSearch Service.

Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-node-to-node-encryption-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de OpenSearch tienen habilitado el cifrado de nodo a nodo. Este control falla si el cifrado de nodo a nodo está deshabilitado en el dominio.

HTTPS (TLS) puede utilizarse para ayudar a evitar posibles ataques de espionaje o de manipulación del tráfico de red con ataques de «persona en medio» o similares. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Habilitar el cifrado de nodo a nodo para los dominios de OpenSearch garantiza que las comunicaciones dentro del clúster se cifren en tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.

Corrección

Para habilitar el cifrado de nodo a nodo en un dominio de OpenSearch, consulte Habilitar el cifrado de nodo a nodo en la Guía para desarrolladores de Amazon OpenSearch Service.

Debe estar habilitado el registro de errores del dominio OpenSearch [Opensearch.4] en CloudWatch Logs

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-logs-to-cloudwatch

Tipo de horario: provocado por un cambio

Parámetros:

  • logtype = 'error' (no personalizable)

Este control comprueba si los dominios de OpenSearch están configurados para enviar registros de errores a CloudWatch Logs. Este control falla si el registro de errores en CloudWatch no está habilitado para un dominio.

Debe habilitar los registros de errores para los dominios de OpenSearch y enviarlos a CloudWatch Logs para su conservación y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

Corrección

Para habilitar la publicación de registros, consulte Habilitar la publicación de registros (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.

Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-audit-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros:

  • cloudWatchLogsLogGroupArnList (no personalizable): Security Hub no completa este parámetro. Lista separada por comas de los grupos de registros de CloudWatch Logs que deben configurarse para los registros de auditoría.

Este control comprueba si los dominios de OpenSearch tienen habilitado el registro de auditoría. Este control falla si un dominio de OpenSearch no tiene activado el registro de auditoría.

Los registros de auditoría son altamente personalizables. Los registros de auditoría se pueden personalizar en gran medida y permiten realizar un seguimiento de la actividad de los usuarios en los clústeres de OpenSearch, incluidos los aciertos y los errores de autenticación, las solicitudes a OpenSearch, los cambios de índice y las consultas de resultado entrantes.

Corrección

Para obtener instrucciones sobre cómo habilitar los registros de auditoría, consulte Habilitar los registros de auditoría en la Guía para desarrolladores de Amazon OpenSearch Service.

Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-data-node-fault-tolerance

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de OpenSearch están configurados con al menos tres nodos de datos y si zoneAwarenessEnabled es true. Este control falla para un dominio de OpenSearch si instanceCount es inferior a 3 o zoneAwarenessEnabled es false.

Para lograr alta disponibilidad y tolerancia a errores a nivel de clúster, un dominio de OpenSearch debe contar con al menos tres nodos de datos. La implementación de un dominio OpenSearch con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

Corrección

Cómo modificar el número de nodos de datos de un dominio de OpenSearch

  1. Inicie sesión en la consola de AWS y abra la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/.

  2. En Mis dominios, elija el nombre del dominio que desee editar y elija Editar.

  3. En Nodos de datos, establezca Número de nodos en un número superior a 3. Si va a realizar la implementación en tres zonas de disponibilidad, establezca el número en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.

  4. Elija Enviar.

Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Categoría: Proteger > Gestión del acceso seguro > Acciones confidenciales de la API restringidas

Gravedad: alta

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-access-control-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de OpenSearch tienen activado un control de acceso detallado. El control falla si el control de acceso detallado no está habilitado. El control de acceso detallado requiere habilitar advanced-security-options en el parámetro OpenSearch update-domain-config.

El control de acceso detallado ofrece formas adicionales de controlar el acceso a los datos en Amazon OpenSearch Service.

Corrección

Para habilitar un control de acceso detallado, consulte Control de acceso detallado en Amazon OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.

[Opensearch.8] Las conexiones a los dominios de OpenSearch deben cifrarse mediante la política de seguridad TLS más reciente

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-https-required

Tipo de horario: provocado por un cambio

Parámetros:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10 (no personalizable)

Este control comprueba si un punto de conexión del dominio de Amazon OpenSearch Service está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto de conexión del dominio de OpenSearch no está configurado para usar la política compatible más reciente o si HTTP no está habilitado.

Puede utilizar HTTPS (TLS) para ayudarle a evitar posibles ataques de tipo “intermediario”, de espionaje o de manipulación del tráfico de red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.

Corrección

Para habilitar el cifrado TLS, utilice la operación de API UpdateDomainConfig. Configure el campo DomainEndpointOptions para especificar el valor de TLSSecurityPolicy. Para obtener más información, consulte el Cifrado de nodo a nodo en la Guía para desarrolladores de Amazon OpenSearch Service.

[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::OpenSearch::Domain

Regla de AWS Config: tagged-opensearch-domain (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList (máximo de 6 elementos) De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. No default value

Este control comprueba si un dominio de Amazon OpenSearch Service tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.

Corrección

Para agregar etiquetas a un dominio de OpenSearch Service, consulte Cómo trabajar con etiquetas en la Guía para desarrolladores de Amazon OpenSearch Service.

[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: baja

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-update-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service tiene instalada la última actualización de software. Se produce un error en el control si hay una actualización de software disponible, pero no está instalada para el dominio.

Las actualizaciones de software de OpenSearch Service proporcionan las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de los parches ayuda a mantener la seguridad y la disponibilidad del dominio. Si no se adoptan medidas respecto de las actualizaciones necesarias, actualizaremos el software de servicio automáticamente después de un tiempo determinado (por lo general, dos semanas). Recomendamos programar las actualizaciones en momentos de poco tráfico en el dominio para minimizar las interrupciones del servicio.

Corrección

Para instalar actualizaciones de software para un dominio de OpenSearch, consulte Inicio de una actualización en la Guía para desarrolladores de Amazon OpenSearch Service.

[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SI-13

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: baja

Tipo de recurso: AWS::OpenSearch::Domain

AWS Config Regla de: opensearch-primary-node-fault-tolerance

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service está configurado con al menos tres nodos principales dedicados. El control falla si el dominio tiene menos de tres nodos principales dedicados.

OpenSearch Service utiliza nodos principales dedicados para aumentar la estabilidad de los clústeres. Un nodo principal dedicado realiza tareas de administración de clústeres, pero no contiene datos ni responde a las solicitudes de carga de datos. Recomendamos que utilice Multi-AZ con modo de espera, que agrega tres nodos principales dedicados a cada dominio de producción de OpenSearch.

Corrección

Para cambiar el número de nodos principales para un dominio de OpenSearch, consulte Creación y administración de dominios de Amazon OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.