Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuerelemente für das Amazon Elastic File System
Diese Kontrollen beziehen sich auf Amazon EFS-Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIst.800-53.R5 SC-28 (1), NIst.800-53.R5 SC-7 (10), NIst.800-53,5r5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config -Regel: efs-encrypted-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Elastic File System so konfiguriert ist, dass es die Dateidaten verschlüsselt mit AWS KMS. Die Prüfung schlägt in den folgenden Fällen fehl.
-
Encryptedistfalsein derDescribeFileSystemsAntwort auf eingestellt. -
Der
KmsKeyId-Schlüssel in derDescribeFileSystems-Antwort stimmt nicht mit demKmsKeyId-Parameter fürefs-encrypted-checküberein.
Beachten Sie, dass dieses Steuerelement den KmsKeyId-Parameter nicht für efs-encrypted-check verwendet. Es überprüft nur den Wert von Encrypted.
Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten in Amazon EFS sollten Sie verschlüsselte Dateisysteme erstellen. Amazon EFS unterstützt die Verschlüsselung von Dateisystemen im Ruhezustand. Sie können die Verschlüsselung von Daten im Ruhezustand aktivieren, wenn Sie ein Amazon EFS-Dateisystem erstellen. Weitere Informationen zur Amazon EFS-Verschlüsselung finden Sie unter Datenverschlüsselung in Amazon EFS im Amazon Elastic File System-Benutzerhandbuch.
Abhilfe
Einzelheiten zur Verschlüsselung eines neuen Amazon EFS-Dateisystems finden Sie unter Verschlüsseln ruhender Daten im Amazon Elastic File System-Benutzerhandbuch.
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Resilienz > Backup
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config -Regel: efs-in-backup-plan
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Elastic File System (Amazon EFS) -Dateisysteme zu den Sicherungsplänen in hinzugefügt wurden AWS Backup. Die Kontrolle schlägt fehl, wenn Amazon EFS-Dateisysteme nicht in den Backup-Plänen enthalten sind.
Die Einbeziehung von EFS-Dateisystemen in die Backup-Pläne hilft Ihnen, Ihre Daten vor Löschung und Datenverlust zu schützen.
Abhilfe
Informationen zum Aktivieren automatischer Backups für ein vorhandenes Amazon EFS-Dateisystem finden Sie unter Erste Schritte 4: Automatische Amazon EFS-Backups erstellen im AWS Backup Entwicklerhandbuch.
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
Verwandte Anforderungen: NIST.800-53.R5 AC-6 (10)
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::EFS::AccessPoint
AWS Config -Regel: efs-access-point-enforce-root-directory
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob Amazon EFS-Zugriffspunkte so konfiguriert sind, dass sie ein Stammverzeichnis erzwingen. Die Steuerung schlägt fehl, wenn der Path Wert von auf / (das Standard-Stammverzeichnis des Dateisystems) gesetzt ist.
Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS-Client, der den Zugriffspunkt verwendet, das auf dem Zugriffspunkt konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems. Durch die Festlegung eines Stammverzeichnisses für einen Access Point wird der Datenzugriff eingeschränkt, da sichergestellt wird, dass Benutzer des Access Points nur auf Dateien des angegebenen Unterverzeichnisses zugreifen können.
Abhilfe
Anweisungen zum Erzwingen eines Stammverzeichnisses für einen Amazon EFS-Zugriffspunkt finden Sie unter Erzwingen eines Stammverzeichnisses mit einem Zugriffspunkt im Amazon Elastic File System-Benutzerhandbuch.
[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen
Verwandte Anforderungen: NIST.800-53.R5 AC-6 (2)
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::EFS::AccessPoint
AWS Config -Regel: efs-access-point-enforce-user-identity
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie eine Benutzeridentität erzwingen. Diese Steuerung schlägt fehl, wenn beim Erstellen des EFS-Zugriffspunkts keine POSIX-Benutzeridentität definiert wurde.
Amazon-EFS-Zugangspunkte sind anwendungsspezifische Einstiegspunkte in ein EFS-Dateisystem, die das Verwalten des Anwendungszugriffs auf freigegebene Datensätze erleichtern. Zugriffspunkte können eine Benutzeridentität, einschließlich der POSIX-Gruppen des Benutzers, für alle Dateisystemanforderungen erzwingen, die über den Zugriffspunkt erfolgen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.
Abhilfe
Informationen zur Durchsetzung einer Benutzeridentität für einen Amazon EFS Access Point finden Sie unter Durchsetzung einer Benutzeridentität mithilfe eines Access Points im Amazon Elastic File System-Benutzerhandbuch.
[EFS.5] EFS-Zugangspunkte sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EFS::AccessPoint
AWS Config Regel: tagged-efs-accesspoint (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon EFS-Zugriffspunkt über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Access Point keine Tag-Schlüssel hat oder wenn er nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Access Point mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EFS-Zugangspunkt finden Sie unter Tagging Amazon EFS-Ressourcen im Amazon Elastic File System-Benutzerhandbuch.
[EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Mittel
Art der Ressource: AWS::EFS::FileSystem
AWS Config -Regel: efs-mount-target-public-accessible
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon EFS-Mount-Ziel einem privaten Subnetz zugeordnet ist. Die Steuerung schlägt fehl, wenn das Mount-Ziel einem öffentlichen Subnetz zugeordnet ist.
Standardmäßig ist ein Dateisystem nur von der Virtual Private Cloud (VPC) aus zugänglich, in der Sie es erstellt haben. Wir empfehlen, EFS-Mount-Ziele in privaten Subnetzen zu erstellen, auf die nicht über das Internet zugegriffen werden kann. Dadurch wird sichergestellt, dass Ihr Dateisystem nur autorisierten Benutzern zugänglich ist und nicht für unbefugten Zugriff oder Angriffe anfällig ist.
Abhilfe
Sie können die Zuordnung zwischen einem EFS-Mount-Ziel und einem Subnetz nicht ändern, nachdem Sie das Mount-Ziel erstellt haben. Um ein vorhandenes Mount-Ziel einem anderen Subnetz zuzuordnen, müssen Sie ein neues Mount-Ziel in einem privaten Subnetz erstellen und dann das alte Mount-Ziel entfernen. Informationen zur Verwaltung von Mount-Zielen finden Sie unter Erstellen und Verwalten von Mount-Zielen und Sicherheitsgruppen im Amazon Elastic File System-Benutzerhandbuch.
