Security Hub-Steuerelemente für Kinesis - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Kinesis

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Kinesis.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), (10), NIST .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::Kinesis::Stream

AWS Config -Regel: kinesis-stream-encrypted

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Kinesis Data Streams im Ruhezustand mit serverseitiger Verschlüsselung verschlüsselt sind. Diese Steuerung schlägt fehl, wenn ein Kinesis-Stream im Ruhezustand nicht mit serverseitiger Verschlüsselung verschlüsselt ist.

Serverseitige Verschlüsselung ist eine Funktion in Amazon Kinesis Data Streams, die Daten automatisch verschlüsselt, bevor sie sich im Ruhezustand befinden, mithilfe eines. AWS KMS key Die Daten werden verschlüsselt, bevor sie in die Speicherschicht des Kinesis-Streams geschrieben werden. Nach Abruf aus dem Speicher werden sie entschlüsselt. Daher werden Ihre Daten im Ruhezustand innerhalb des Amazon Kinesis Data Streams Streams-Service verschlüsselt.

Abhilfe

Informationen zur Aktivierung der serverseitigen Verschlüsselung für Kinesis-Streams finden Sie unter Wie fange ich mit serverseitiger Verschlüsselung an? im Amazon Kinesis Developer Guide.

[Kinesis.2] Kinesis-Streams sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::Kinesis::Stream

AWS Config Regel: tagged-kinesis-stream (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen Kein Standardwert

Dieses Steuerelement prüft, ob ein Amazon Kinesis Kinesis-Datenstream Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn der Datenstream keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys angegebenen Schlüssel enthält. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Datenstrom mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu ABAC dient es AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem Kinesis-Datenstream finden Sie unter Tagging your streams in Amazon Kinesis Data Streams im Amazon Kinesis Developer Guide.

[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

Schweregrad: Mittel

Ressourcentyp: AWS::Kinesis::Stream

AWS Config-Regel: kinesis-stream-backup-retention-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
minimumBackupRetentionPeriod Mindestanzahl von Stunden, für die die Daten aufbewahrt werden sollen. String 24 bis 8760 168

Dieses Steuerelement prüft, ob ein Amazon Kinesis Kinesis-Datenstream eine Datenaufbewahrungsdauer hat, die größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn die Datenaufbewahrungsdauer den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Datenaufbewahrungsdauer angeben, verwendet Security Hub einen Standardwert von 168 Stunden.

In Kinesis Data Streams ist ein Datenstrom eine geordnete Abfolge von Datensätzen, in die in Echtzeit geschrieben und daraus gelesen werden soll. Datensätze werden vorübergehend in Shards in Ihrem Stream gespeichert. Der Zeitraum ab dem Hinzufügen eines Datensatzes bis zu dem Zeitpunkt, an dem er nicht mehr verfügbar ist, wird als Aufbewahrungszeitraum bezeichnet. Kinesis Data Streams macht Datensätze, die älter als die neue Aufbewahrungsfrist sind, fast sofort unzugänglich, nachdem die Aufbewahrungsfrist verkürzt wurde. Beispielsweise bedeutet eine Änderung des Aufbewahrungszeitraums von 24 Stunden auf 48 Stunden, dass Datensätze, die 23 Stunden und 55 Minuten vorher zum Stream hinzugefügt wurden, nach 24 Stunden weiterhin verfügbar sind.

Abhilfe

Informationen zum Ändern der Aufbewahrungsdauer von Backups für Ihre Kinesis Data Streams finden Sie unter Ändern der Datenaufbewahrungsdauer im Amazon Kinesis Data Streams Developer Guide.