Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für CloudFront
Diese Security Hub Hub-Kontrollen bewerten den CloudFront Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-default-root-object-configured
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Root-Objekt ist. Die Steuerung schlägt fehl, wenn für die CloudFront Verteilung kein Standard-Stammobjekt konfiguriert ist.
Ein Benutzer kann manchmal das Stammverzeichnis der Distribution URL anstelle eines Objekts in der Verteilung anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden.
Abhilfe
Informationen zur Konfiguration eines Standard-Root-Objekts für eine CloudFront Distribution finden Sie unter How to specify a default root object im Amazon CloudFront Developer Guide.
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-viewer-policy-https
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Mit dieser Kontrolle wird geprüft, ob eine CloudFront Amazon-Distribution von Zuschauern eine HTTPS direkte Nutzung erfordert oder ob eine Umleitung verwendet wird. Die Steuerung schlägt fehl, wenn sie auf allow-all
für defaultCacheBehavior
oder für cacheBehaviors
gesetzt ViewerProtocolPolicy
ist.
HTTPS(TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.
Abhilfe
Informationen zum Verschlüsseln einer CloudFront Verteilung während der Übertragung finden Sie unter Kommunikation zwischen Zuschauern erforderlich HTTPS und CloudFront im Amazon CloudFront Developer Guide.
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-origin-failover-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution mit einer Ursprungsgruppe konfiguriert ist, die zwei oder mehr Ursprünge hat.
CloudFront Origin-Failover kann die Verfügbarkeit erhöhen. Origin-Failover leitet den Datenverkehr automatisch an einen sekundären Ursprung weiter, wenn der primäre Ursprung nicht verfügbar ist oder wenn bestimmte HTTP Antwortstatuscodes zurückgegeben werden.
Abhilfe
Informationen zur Konfiguration des Origin-Failovers für eine CloudFront Distribution finden Sie unter Creating an Origin Group im Amazon CloudFront Developer Guide.
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-accesslogs-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist.
CloudFront Zugriffsprotokolle enthalten detaillierte Informationen zu jeder Benutzeranfrage, die bei uns eingeht CloudFront . Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter.
Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Weitere Hinweise zur Analyse von Zugriffsprotokollen finden Sie unter Abfragen von CloudFront Amazon-Protokollen im Amazon Athena-Benutzerhandbuch.
Abhilfe
Informationen zur Konfiguration der Zugriffsprotokollierung für eine CloudFront Distribution finden Sie unter Konfiguration und Verwendung von Standardprotokollen (Zugriffsprotokollen) im Amazon CloudFront Developer Guide.
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)
Kategorie: Schützen > Schutzdienste
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-associated-with-waf
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob CloudFront Verteilungen mit einer der beiden verknüpft sind AWS WAF Klassisch oder AWS WAF NetzACLs. Die Steuerung schlägt fehl, wenn die Distribution nicht mit einem Web verknüpft istACL.
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Sie ermöglicht es Ihnen, eine Reihe von Regeln zu konfigurieren, die als Web-Zugriffskontrollliste (WebACL) bezeichnet werden und Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einem verknüpft ist AWS WAF WebACL, um es vor böswilligen Angriffen zu schützen.
Abhilfe
Um einen zuzuordnen AWS WAF Web ACL mit einer CloudFront Distribution, siehe Verwenden AWS WAF um den Zugriff auf Ihre Inhalte im Amazon CloudFront Developer Guide zu kontrollieren.
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-custom-ssl-certificate
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob CloudFront Distributionen den Standard verwenden, den das TLS ZertifikatSSL/ CloudFront bereitstellt. Dieses Steuerelement ist erfolgreich, wenn die CloudFront Distribution ein benutzerdefiniertesSSL/TLS-Zertifikat verwendet. Dieses Steuerelement schlägt fehl, wenn die CloudFront Distribution das TLS StandardzertifikatSSL/verwendet.
BenutzerdefiniertSSL/TLSermöglicht es Ihren Benutzern, mithilfe alternativer Domainnamen auf Inhalte zuzugreifen. Sie können benutzerdefinierte Zertifikate speichern in AWS Certificate Manager (empfohlen) oder inIAM.
Abhilfe
Informationen zum Hinzufügen eines alternativen Domainnamens für eine CloudFront Distribution mit einem benutzerdefinierten SSL TLS /-Zertifikat finden Sie unter Hinzufügen eines alternativen Domainnamens im Amazon CloudFront Developer Guide.
[CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), .800-53.r5 NIST CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-sni-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen ein benutzerdefiniertes SSL TLS /-Zertifikat verwenden SNI und für die Bearbeitung von HTTPS Anfragen konfiguriert sind. Diese Kontrolle schlägt fehl, wenn ein benutzerdefiniertes SSL TLS /-Zertifikat zugeordnet ist, die SSL TLS /-Support-Methode jedoch eine dedizierte IP-Adresse ist.
Server Name Indication (SNI) ist eine Erweiterung des TLS Protokolls, die von Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie CloudFront die Konfiguration für die HTTPS Bearbeitung von Anfragen mithilfe CloudFront vonSNI, verknüpfen Sie Ihren alternativen Domänennamen mit einer IP-Adresse für jeden Edge-Standort. Wenn ein Zuschauer eine HTTPS Anfrage für Ihre Inhalte sendet, DNS leitet er die Anfrage an die IP-Adresse für den richtigen Edge-Standort weiter. Die IP-Adresse Ihres Domainnamens wird während der SSL TLS /-Handshake-Verhandlung festgelegt. Die IP-Adresse ist nicht für Ihren Vertrieb vorgesehen.
Abhilfe
Informationen zur Konfiguration einer CloudFront Distribution für die Bearbeitung von HTTPS Anfragen finden Sie unter Using SNI to Serve HTTPS Requests (funktioniert für die meisten Kunden) im CloudFront Developer Guide. SNI Informationen zu benutzerdefinierten SSL Zertifikaten finden Sie unter Anforderungen für die Verwendung von SSL TLS /-Zertifikaten mit CloudFront.
[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-traffic-to-origin-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln. Diese Kontrolle schlägt bei einer CloudFront Distribution fehl, deren Ursprungsprotokollrichtlinie „Nur HTTP“ zulässt. Diese Kontrolle schlägt auch fehl, wenn die Ursprungsprotokollrichtlinie der Distribution „Match-Viewer“ lautet, während die Viewer-Protokollrichtlinie „Allow-all“ lautet.
HTTPS(TLS) kann verwendet werden, um das Abhören oder Manipulieren des Netzwerkverkehrs zu verhindern. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden.
Abhilfe
Informationen zur Aktualisierung der Origin-Protokollrichtlinie, sodass Verschlüsselung für eine CloudFront Verbindung erforderlich HTTPS ist, finden Sie unter Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich im Amazon CloudFront Developer Guide.
[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, NIST.800-53.r5 SC-1 3, (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-2 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-no-deprecated-ssl-protocols
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen veraltete SSL Protokolle für die HTTPS Kommunikation zwischen CloudFront Edge-Standorten und Ihren benutzerdefinierten Ursprüngen verwenden. Diese Kontrolle schlägt fehl, wenn eine CloudFront Distribution über ein Where Include verfügtCustomOriginConfig
. OriginSslProtocols
SSLv3
Im Jahr 2015 gab die Internet Engineering Task Force (IETF) offiziell bekannt, dass SSL 3.0 veraltet sein sollte, da das Protokoll nicht ausreichend sicher ist. Es wird empfohlen, dass Sie TLSv1 .2 oder höher für die HTTPS Kommunikation mit Ihren benutzerdefinierten Ursprüngen verwenden.
Abhilfe
Informationen zur Aktualisierung der SSL Origin-Protokolle für eine CloudFront Distribution finden Sie unter Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich HTTPS im Amazon CloudFront Developer Guide.
[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen
Verwandte Anforderungen: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-s3-origin-non-existent-bucket
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen auf nicht existierende Amazon S3-Ursprünge verweisen. Die Kontrolle schlägt bei einer CloudFront Distribution fehl, wenn der Ursprung so konfiguriert ist, dass er auf einen nicht existierenden Bucket verweist. Diese Steuerung gilt nur für CloudFront Distributionen, bei denen ein S3-Bucket ohne statisches Website-Hosting der S3-Ursprung ist.
Wenn eine CloudFront Distribution in Ihrem Konto so konfiguriert ist, dass sie auf einen nicht existierenden Bucket verweist, kann ein böswilliger Dritter den Bucket erstellen, auf den verwiesen wird, und seine eigenen Inhalte über Ihre Distribution bereitstellen. Wir empfehlen, alle Ursprünge unabhängig vom Routing-Verhalten zu überprüfen, um sicherzustellen, dass Ihre Distributionen auf die richtigen Ursprünge verweisen.
Abhilfe
Informationen zum Ändern einer CloudFront Distribution, sodass sie auf einen neuen Ursprung verweist, finden Sie unter Aktualisieren einer Distribution im Amazon CloudFront Developer Guide.
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: cloudfront-s3-origin-access-control-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob für eine CloudFront Amazon-Distribution mit einem Amazon S3-Ursprung die Ursprungszugriffskontrolle (OAC) konfiguriert ist. Die Steuerung schlägt fehl, wenn sie OAC nicht für die CloudFront Verteilung konfiguriert ist.
Wenn Sie einen S3-Bucket als Ursprung für Ihre CloudFront Distribution verwenden, können Sie Folgendes aktivierenOAC. Dies ermöglicht den Zugriff auf den Inhalt im Bucket nur über die angegebene CloudFront Distribution und verhindert den direkten Zugriff über den Bucket oder eine andere Distribution. CloudFront Unterstützt zwar Origin Access Identity (OAI), OAC bietet aber zusätzliche Funktionen und Distributionen, zu denen migriert OAI werden kann. OAC Es OAI bietet zwar eine sichere Möglichkeit, auf S3-Ursprünge zuzugreifen, weist jedoch Einschränkungen auf, wie z. B. mangelnde Unterstützung für detaillierte Richtlinienkonfigurationen und für HTTP HTTPS /-Anfragen, die die POST Methode verwenden AWS-Regionen die erfordern AWS Signatur Version 4 (SigV4). OAIunterstützt auch keine Verschlüsselung mit AWS Key Management Service. OACbasiert auf einem AWS bewährte Methode zur Verwendung von IAM Service Principals zur Authentifizierung mit S3-Ursprüngen.
Abhilfe
Informationen zur Konfiguration OAC für eine CloudFront Distribution mit S3-Ursprüngen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.
[CloudFront.14] CloudFront Distributionen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: tagged-cloudfront-distribution
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys
. Die Steuerung schlägt fehl, wenn die Distribution keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys
. Wenn der Parameter requiredTagKeys
nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Verteilung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:
, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einer CloudFront Distribution finden Sie unter Tagging CloudFront Amazon-Distributionen im Amazon CloudFront Developer Guide.