Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon EFS
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic File System (AmazonEFS).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6) NIST
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config Regel: efs-encrypted-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Elastic File System so konfiguriert ist, dass es die Dateidaten verschlüsselt mit AWS KMS. Die Prüfung schlägt in den folgenden Fällen fehl.
-
Encryptedistfalsein derDescribeFileSystemsAntwort auf eingestellt. -
Der
KmsKeyId-Schlüssel in derDescribeFileSystems-Antwort stimmt nicht mit demKmsKeyId-Parameter fürefs-encrypted-checküberein.
Beachten Sie, dass dieses Steuerelement den KmsKeyId-Parameter nicht für efs-encrypted-check verwendet. Es überprüft nur den Wert von Encrypted.
Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten bei Amazon EFS sollten Sie verschlüsselte Dateisysteme erstellen. Amazon EFS unterstützt die Verschlüsselung von Dateisystemen im Ruhezustand. Sie können die Verschlüsselung von Daten im Ruhezustand aktivieren, wenn Sie ein EFS Amazon-Dateisystem erstellen. Weitere Informationen zur EFS Amazon-Verschlüsselung finden Sie unter Datenverschlüsselung EFS in Amazon im Amazon Elastic File System-Benutzerhandbuch.
Abhilfe
Einzelheiten zur Verschlüsselung eines neuen EFS Amazon-Dateisystems finden Sie unter Verschlüsseln ruhender Daten im Amazon Elastic File System-Benutzerhandbuch.
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Kategorie: Wiederherstellung > Resilienz > Backup
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config Regel: efs-in-backup-plan
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Elastic File System (AmazonEFS) -Dateisysteme zu den Backup-Plänen in hinzugefügt wurden AWS Backup. Die Kontrolle schlägt fehl, wenn EFS Amazon-Dateisysteme nicht in den Backup-Plänen enthalten sind.
Die Aufnahme von EFS Dateisystemen in die Backup-Pläne hilft Ihnen, Ihre Daten vor Löschung und Datenverlust zu schützen.
Abhilfe
Informationen zum Aktivieren automatischer Backups für ein vorhandenes EFS Amazon-Dateisystem finden Sie unter Erste Schritte 4: EFS Automatische Amazon-Backups erstellen in der AWS Backup Entwicklerhandbuch.
[EFS.3] EFS Access Points sollten ein Root-Verzeichnis erzwingen
Verwandte Anforderungen: NIST.800-53.r5 AC-6 (10)
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::EFS::AccessPoint
AWS Config Regel: efs-access-point-enforce-root-directory
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie ein Stammverzeichnis erzwingen. Die Steuerung schlägt fehl, wenn der Path Wert von auf / (das Standard-Stammverzeichnis des Dateisystems) gesetzt ist.
Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS Client, der den Access Point verwendet, das auf dem Access Point konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems. Wenn Sie ein Stammverzeichnis für einen Access Point erzwingen, können Sie den Datenzugriff einschränken, indem sichergestellt wird, dass Benutzer des Access Points nur auf Dateien des angegebenen Unterverzeichnisses zugreifen können.
Abhilfe
Anweisungen zur Durchsetzung eines Stammverzeichnisses für einen Amazon EFS Access Point finden Sie unter Enforcing a root directory with a access point im Amazon Elastic File System-Benutzerhandbuch.
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
Verwandte Anforderungen: NIST.800-53.r5 AC-6 (2)
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::EFS::AccessPoint
AWS Config Regel: efs-access-point-enforce-user-identity
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie eine Benutzeridentität erzwingen. Diese Kontrolle schlägt fehl, wenn bei der Erstellung des EFS Access Points keine POSIX Benutzeridentität definiert wurde.
Amazon EFS Access Points sind anwendungsspezifische Einstiegspunkte in ein EFS Dateisystem, die es einfacher machen, den Anwendungszugriff auf gemeinsam genutzte Datensätze zu verwalten. Access Points können eine Benutzeridentität, einschließlich der POSIX Benutzergruppen, für alle Dateisystemanfragen, die über den Access Point gestellt werden, durchsetzen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.
Abhilfe
Informationen zur Durchsetzung einer Benutzeridentität für einen Amazon EFS Access Point finden Sie unter Durchsetzung einer Benutzeridentität mithilfe eines Access Points im Amazon Elastic File System-Benutzerhandbuch.
[EFS.5] EFS Access Points sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EFS::AccessPoint
AWS Config Regel: tagged-efs-accesspoint (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen | Kein Standardwert |
Diese Kontrolle prüft, ob ein Amazon EFS Access Point über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Access Point keine Tag-Schlüssel hat oder wenn er nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Access Point mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EFS Access Point finden Sie unter Tagging EFS Amazon-Ressourcen im Amazon Elastic File System-Benutzerhandbuch.
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config Regel: efs-mount-target-public-accessible
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein EFS Amazon-Mount-Ziel einem privaten Subnetz zugeordnet ist. Die Kontrolle schlägt fehl, wenn das Mount-Ziel einem öffentlichen Subnetz zugeordnet ist.
Standardmäßig ist ein Dateisystem nur von der Virtual Private Cloud (VPC) aus zugänglich, in der Sie es erstellt haben. Wir empfehlen, EFS Mount-Ziele in privaten Subnetzen zu erstellen, auf die nicht über das Internet zugegriffen werden kann. Dadurch wird sichergestellt, dass Ihr Dateisystem nur autorisierten Benutzern zugänglich ist und nicht für unbefugten Zugriff oder Angriffe anfällig ist.
Abhilfe
Sie können die Zuordnung zwischen einem EFS Mount-Ziel und einem Subnetz nicht ändern, nachdem Sie das Mount-Ziel erstellt haben. Um ein vorhandenes Mount-Ziel einem anderen Subnetz zuzuordnen, müssen Sie ein neues Mount-Ziel in einem privaten Subnetz erstellen und dann das alte Mount-Ziel entfernen. Informationen zur Verwaltung von Mount-Zielen finden Sie unter Erstellen und Verwalten von Mount-Zielen und Sicherheitsgruppen im Amazon Elastic File System-Benutzerhandbuch.
[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein
Kategorie: Wiederherstellen > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::EFS::FileSystem
AWS Config Regel: efs-automatic-backups-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem EFS Amazon-Dateisystem automatische Backups aktiviert sind. Diese Kontrolle schlägt fehl, wenn für das EFS Dateisystem keine automatischen Backups aktiviert sind.
Eine Datensicherung ist eine Kopie Ihrer System-, Konfiguration- oder Anwendungsdaten, die getrennt vom Original gespeichert wird. Durch die Aktivierung regelmäßiger Backups können Sie wertvolle Daten vor unvorhergesehenen Ereignissen wie Systemausfällen, Cyberangriffen oder versehentlichem Löschen schützen. Eine robuste Backup-Strategie ermöglicht auch eine schnellere Wiederherstellung, einen unterbrechungsfreien Betrieb und sorgt für mehr Sicherheit angesichts potenzieller Datenverluste.
Abhilfe
Für Informationen zur Verwendung von AWS Backup Informationen zu EFS Dateisystemen finden Sie unter Sichern von EFS Dateisystemen im Amazon Elastic File System-Benutzerhandbuch
