Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Auto Scaling
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon EC2 Auto Scaling.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden
Verwandte Anforderungen: PCI DSS v3.2.1/2.2, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST
Kategorie: Identifizieren > Bestand
Schweregrad: Niedrig
Art der Ressource: AWS::AutoScaling::AutoScalingGroup
AWS Config -Regel: autoscaling-group-elb-healthcheck-required
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe, die einem Load Balancer zugeordnet ist, Elastic Load Balancing (ELB) -Zustandsprüfungen verwendet. Die Steuerung schlägt fehl, wenn die Auto Scaling Scaling-Gruppe keine ELB Integritätsprüfungen verwendet.
ELBMithilfe von Integritätsprüfungen wird sichergestellt, dass eine Auto Scaling Scaling-Gruppe den Zustand einer Instance anhand zusätzlicher Tests, die vom Load Balancer bereitgestellt werden, ermitteln kann. Die Verwendung von Elastic Load Balancing Health Checks trägt auch dazu bei, die Verfügbarkeit von Anwendungen zu unterstützen, die EC2 Auto Scaling Scaling-Gruppen verwenden.
Abhilfe
Informationen zum Hinzufügen von Elastic Load Balancing Balancing-Zustandsprüfungen finden Sie unter Elastic Load Balancing Balancing-Zustandsprüfungen hinzufügen im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::AutoScaling::AutoScalingGroup
AWS Config -Regel: autoscaling-multiple-az
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Mindestanzahl von Availability Zones |
Enum |
|
|
Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe mindestens die angegebene Anzahl von Availability Zones (AZs) umfasst. Die Steuerung schlägt fehl, wenn eine Auto Scaling Scaling-Gruppe nicht mindestens die angegebene Anzahl von umfasstAZs. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angebenAZs, verwendet Security Hub den Standardwert AZs 2.
Eine Auto Scaling Scaling-Gruppe, die sich nicht über mehrere erstreckt, AZs kann keine Instances in einer anderen AZ starten, um dies zu kompensieren, wenn die konfigurierte einzelne AZ nicht mehr verfügbar ist. In einigen Anwendungsfällen kann jedoch eine Auto Scaling Scaling-Gruppe mit einer einzigen Availability Zone bevorzugt werden, z. B. bei Batch-Jobs oder wenn die Inter-AZ-Übertragungskosten auf ein Minimum beschränkt werden müssen. In solchen Fällen können Sie diese Steuerung deaktivieren oder ihre Ergebnisse unterdrücken.
Abhilfe
Informationen zum Hinzufügen AZs zu einer vorhandenen Auto Scaling Scaling-Gruppe finden Sie unter Availability Zones hinzufügen und entfernen im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen
Verwandte Anforderungen: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2, v4.0.1/2.2.6 PCI DSS
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::AutoScaling::LaunchConfiguration
AWS Config -Regel: autoscaling-launchconfig-requires-imdsv2
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob IMDSv2 es auf allen Instances aktiviert ist, die von Amazon EC2 Auto Scaling Scaling-Gruppen gestartet wurden. Die Steuerung schlägt fehl, wenn die Version des Instance Metadata Service (IMDS) nicht in der Startkonfiguration enthalten ist oder als konfiguriert isttoken optional, was eine Einstellung ist, die entweder IMDSv1 oder zulässtIMDSv2.
IMDSstellt Daten über Ihre Instance bereit, die Sie verwenden können, um die laufende Instance zu konfigurieren oder zu verwalten.
Version 2 von IMDS fügt neue Schutzmaßnahmen hinzu, die in nicht verfügbar waren, IMDSv1 um Ihre EC2 Instances weiter zu schützen.
Abhilfe
Eine Auto Scaling Scaling-Gruppe ist jeweils einer Startkonfiguration zugeordnet. Sie können eine Startkonfiguration nicht ändern, nachdem Sie sie erstellt haben. Um die Startkonfiguration für eine Auto Scaling Scaling-Gruppe zu ändern, verwenden Sie eine vorhandene Startkonfiguration als Grundlage für eine neue Startkonfiguration mit IMDSv2 enabled. Weitere Informationen finden Sie unter Konfigurieren von Instance-Metadatenoptionen für neue Instances im EC2Amazon-Benutzerhandbuch.
[AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben
Wichtig
Security Hub hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter Änderungsprotokoll für Security Hub-Steuerelemente.
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::AutoScaling::LaunchConfiguration
AWS Config -Regel: autoscaling-launch-config-hop-limit
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement überprüft die Anzahl der Netzwerk-Hops, die ein Metadaten-Token zurücklegen kann. Die Steuerung schlägt fehl, wenn das Limit für Metadaten-Antwort-Hops größer als ist1.
Der Instance-Metadaten-Service (IMDS) stellt Metadateninformationen zu einer EC2 Amazon-Instance bereit und ist für die Anwendungskonfiguration nützlich. Die Beschränkung der HTTP PUT Antwort für den Metadaten-Service auf nur die EC2 Instance schützt die IMDS vor unbefugter Nutzung.
Das Feld Time To Live (TTL) im IP-Paket wird bei jedem Hop um eins reduziert. Diese Reduzierung kann verwendet werden, um sicherzustellen, dass das Paket nicht nach außen transportiert wirdEC2. IMDSv2schützt EC2 Instanzen, die möglicherweise als offene Router, Layer-3-Firewalls, Tunnel oder NAT Geräte falsch konfiguriert wurdenVPNs, und verhindert so, dass unbefugte Benutzer Metadaten abrufen können. Mit kann die PUT AntwortIMDSv2, die das geheime Token enthält, die Instanz nicht verlassen, da das standardmäßige Antwort-Hop-Limit für Metadaten auf festgelegt ist. 1 Wenn dieser Wert jedoch größer als ist1, kann das Token die EC2 Instance verlassen.
Abhilfe
Informationen zum Ändern des Metadaten-Response-Hop-Limits für eine bestehende Startkonfiguration finden Sie unter Ändern von Instance-Metadaten-Optionen für bestehende Instances im EC2Amazon-Benutzerhandbuch.
[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v4.0.1/1.4.4 PCI DSS
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::AutoScaling::LaunchConfiguration
AWS Config -Regel: autoscaling-launch-config-public-ip-disabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die zugehörige Startkonfiguration einer Auto Scaling Scaling-Gruppe den Instances der Gruppe eine öffentliche IP-Adresse zuweist. Die Steuerung schlägt fehl, wenn die zugehörige Startkonfiguration eine öffentliche IP-Adresse zuweist.
EC2Amazon-Instances in einer Auto Scaling Scaling-Gruppenstartkonfiguration sollten keine zugeordnete öffentliche IP-Adresse haben, außer in begrenzten Randfällen. EC2Amazon-Instances sollten nur hinter einem Load Balancer zugänglich sein, anstatt direkt dem Internet ausgesetzt zu sein.
Abhilfe
Eine Auto Scaling Scaling-Gruppe ist jeweils einer Startkonfiguration zugeordnet. Sie können eine Startkonfiguration nicht ändern, nachdem Sie sie erstellt haben. Um die Startkonfiguration einer Auto-Scaling-Gruppe zu ändern, verwenden Sie eine vorhandene Startkonfiguration als Grundlage für eine neue Startkonfiguration. Aktualisieren Sie dann die Auto-Scaling-Gruppe so, dass die neue Startkonfiguration verwendet wird. step-by-stepAnweisungen finden Sie unter Ändern der Startkonfiguration für eine Auto Scaling Scaling-Gruppe im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch. Wählen Sie bei der Erstellung der neuen Startkonfiguration unter Zusätzliche Konfiguration für Erweiterte Details und IP-Adresstyp die Option Keinen Instances eine öffentliche IP-Adresse zuweisen aus.
Nachdem Sie die Startkonfiguration geändert haben, startet Auto Scaling neue Instances mit den neuen Konfigurationsoptionen. Bestehende Instanzen sind nicht betroffen. Um eine bestehende Instance zu aktualisieren, empfehlen wir Ihnen, Ihre Instance zu aktualisieren oder die automatische Skalierung zuzulassen, um ältere Instances auf der Grundlage Ihrer Kündigungsrichtlinien schrittweise durch neuere Instances zu ersetzen. Weitere Informationen zur Aktualisierung von Auto Scaling Scaling-Instances finden Sie unter Auto Scaling Scaling-Instances aktualisieren im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::AutoScaling::AutoScalingGroup
AWS Config -Regel: autoscaling-multiple-instance-types
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe mehrere Instance-Typen verwendet. Die Steuerung schlägt fehl, wenn für die Auto Scaling Scaling-Gruppe nur ein Instanztyp definiert ist.
Sie können die Verfügbarkeit verbessern, indem Sie Ihre Anwendung auf mehreren Instance-Typen bereitstellen, die in mehreren Availability Zones ausgeführt werden. Security Hub empfiehlt die Verwendung mehrerer Instanztypen, damit die Auto Scaling Scaling-Gruppe einen anderen Instance-Typ starten kann, wenn die Instance-Kapazität in den von Ihnen ausgewählten Availability Zones nicht ausreicht.
Abhilfe
Informationen zum Erstellen einer Auto Scaling Scaling-Gruppe mit mehreren Instance-Typen finden Sie unter Auto Scaling Scaling-Gruppen mit mehreren Instance-Typen und Kaufoptionen im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::AutoScaling::AutoScalingGroup
AWS Config -Regel: autoscaling-launch-template
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe anhand einer EC2 Startvorlage erstellt wurde. Diese Kontrolle schlägt fehl, wenn eine Amazon EC2 Auto Scaling Scaling-Gruppe nicht mit einer Startvorlage erstellt wird oder wenn keine Startvorlage in einer Richtlinie für gemischte Instanzen angegeben ist.
Eine EC2 Auto Scaling Scaling-Gruppe kann entweder aus einer EC2 Startvorlage oder einer Startkonfiguration erstellt werden. Die Verwendung einer Startvorlage zur Erstellung einer Auto Scaling Scaling-Gruppe stellt jedoch sicher, dass Sie Zugriff auf die neuesten Funktionen und Verbesserungen haben.
Abhilfe
Informationen zum Erstellen einer Auto Scaling Scaling-Gruppe mit einer EC2 Startvorlage finden Sie unter Erstellen einer Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch. Informationen zum Ersetzen einer Startkonfiguration durch eine Startvorlage finden Sie unter Ersetzen einer Startkonfiguration durch eine Startvorlage im EC2Amazon-Benutzerhandbuch.
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::AutoScaling::AutoScalingGroup
AWS Config Regel: tagged-autoscaling-autoscalinggroup (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Auto Scaling Scaling-Gruppe keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Auto Scaling Scaling-Gruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer Auto Scaling Scaling-Gruppe finden Sie unter Tag Auto Scaling Scaling-Gruppen und -Instances im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
