Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Lambda
Diese AWS Security Hub Kontrollen bewerten den AWS Lambda Service und die Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 PCI DSS PCI DSS
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
Ressourcentyp: AWS::Lambda::Function
AWS Config -Regel: lambda-function-public-access-prohibited
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die ressourcenbasierte Richtlinie der Lambda-Funktion den öffentlichen Zugriff außerhalb Ihres Kontos verbietet. Die Kontrolle schlägt fehl, wenn der öffentliche Zugriff zulässig ist. Die Kontrolle schlägt auch fehl, wenn eine Lambda-Funktion von Amazon S3 aus aufgerufen wird und die Richtlinie keine Bedingung zur Beschränkung des öffentlichen Zugriffs enthält, wie z. AWS:SourceAccount Wir empfehlen, andere S3-Bedingungen zusammen mit AWS:SourceAccount in Ihrer Bucket-Richtlinie zu verwenden, um den Zugriff zu verfeinern.
Die Lambda-Funktion sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihren Funktionscode ermöglichen kann.
Abhilfe
Um dieses Problem zu beheben, müssen Sie die ressourcenbasierte Richtlinie Ihrer Funktion aktualisieren, um Berechtigungen zu entfernen oder die Bedingung hinzuzufügen. AWS:SourceAccount Sie können die ressourcenbasierte Richtlinie nur über API Lambda oder aktualisieren. AWS CLI
Überprüfen Sie zunächst die ressourcenbasierte Richtlinie auf der Lambda-Konsole. Identifizieren Sie die Richtlinienaussage, deren Principal Feldwerte die Richtlinie öffentlich machen, z. B. oder. "*" { "AWS": "*" }
Sie können die Richtlinie nicht von der Konsole aus bearbeiten. Um der Funktion Berechtigungen zu entziehen, führen Sie den remove-permissionBefehl über den aus AWS CLI.
$ aws lambda remove-permission --function-name<function-name>--statement-id<statement-id>
<function-name><statement-id>Sid) der Anweisung, die Sie entfernen möchten.
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), NIST v4.0.1/12.3.4 NIST NIST PCI DSS
Kategorie: Schutz > Sichere Entwicklung
Schweregrad: Mittel
Art der Ressource: AWS::Lambda::Function
AWS Config -Regel: lambda-function-settings-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
runtime:dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs22.x, nodejs20.x, nodejs18.x, python3.13, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2(nicht anpassbar)
Dieses Steuerelement prüft, ob die Laufzeiteinstellungen der AWS Lambda Funktionen den erwarteten Werten entsprechen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Das Steuerelement schlägt fehl, wenn die Lambda-Funktion keine unterstützte Laufzeit verwendet, wie bereits im Abschnitt Parameter beschrieben. Security Hub ignoriert Funktionen mit dem PakettypImage.
Lambda-Laufzeiten basieren auf einer Kombination aus Betriebssystem, Programmiersprache und Softwarebibliotheken, die Wartungs- und Sicherheitsupdates unterliegen. Wenn eine Laufzeitkomponente für Sicherheitsupdates nicht mehr unterstützt wird, hat Lambda die Laufzeit als veraltet eingestuft. Auch wenn Sie keine Funktionen erstellen können, die die veraltete Runtime verwenden, ist die Funktion dennoch für die Verarbeitung von Aufrufereignissen verfügbar. Wir empfehlen sicherzustellen, dass Ihre Lambda-Funktionen aktuell sind und keine veralteten Laufzeitumgebungen verwenden. Eine Liste der unterstützten Laufzeiten finden Sie unter Lambda-Laufzeiten im AWS Lambda Developer Guide.
Abhilfe
Weitere Informationen zu unterstützten Laufzeiten und Zeitplänen für veraltete Versionen finden Sie unter Runtime Deprecation Policy im Developer Guide.AWS Lambda Wenn Sie Ihre Laufzeiten auf die neueste Version migrieren, folgen Sie der Syntax und Anleitung der Herausgeber der Sprache. Wir empfehlen außerdem, Runtime-Updates zu installieren, um das Risiko einer Beeinträchtigung Ihrer Workloads im seltenen Fall einer Runtime-Versionsinkompatibilität zu verringern.
[Lambda.3] Lambda-Funktionen sollten in einem VPC
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16) NIST.800-53.r5 AC-3, (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6, (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::Lambda::Function
AWS Config Regel: lambda-inside-vpc
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Lambda-Funktion in einer virtuellen privaten Cloud (VPC) bereitgestellt ist. Die Steuerung schlägt fehl, wenn die Lambda-Funktion nicht in a VPC bereitgestellt wird. Security Hub bewertet die Konfiguration des VPC Subnetz-Routings nicht, um die öffentliche Erreichbarkeit zu ermitteln. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda @Edge -Ressourcen angezeigt.
Die Bereitstellung von Ressourcen in einem VPC erhöht die Sicherheit und Kontrolle über Netzwerkkonfigurationen. Solche Bereitstellungen bieten auch Skalierbarkeit und hohe Fehlertoleranz über mehrere Availability Zones hinweg. Sie können VPC Bereitstellungen an unterschiedliche Anwendungsanforderungen anpassen.
Abhilfe
Informationen zur Konfiguration einer vorhandenen Funktion für die Verbindung zu privaten Subnetzen in Ihrem VPC finden Sie unter Konfiguration des VPC Zugriffs im AWS Lambda Entwicklerhandbuch. Wir empfehlen, mindestens zwei private Subnetze für hohe Verfügbarkeit und mindestens eine Sicherheitsgruppe auszuwählen, die die Konnektivitätsanforderungen der Funktion erfüllt.
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::Lambda::Function
AWS Config -Regel: lambda-vpc-multi-az-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Mindestanzahl von Availability Zones |
Enum |
|
|
Dieses Steuerelement prüft, ob eine AWS Lambda Funktion, die eine Verbindung zu einer virtuellen privaten Cloud (VPC) herstellt, in mindestens der angegebenen Anzahl von Availability Zones (AZs) funktioniert. Die Steuerung schlägt fehl, wenn die Funktion nicht in mindestens der angegebenen Anzahl von funktioniertAZs. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angebenAZs, verwendet Security Hub den Standardwert AZs 2.
Die Bereitstellung mehrerer Ressourcen AZs ist eine AWS bewährte Methode, um eine hohe Verfügbarkeit innerhalb Ihrer Architektur sicherzustellen. Verfügbarkeit ist eine zentrale Säule des dreifachen Sicherheitsmodells für Vertraulichkeit, Integrität und Verfügbarkeit. Alle Lambda-Funktionen, die eine Verbindung zu a herstellen, VPC sollten über eine Multi-AZ-Bereitstellung verfügen, um sicherzustellen, dass eine einzelne Ausfallzone nicht zu einer vollständigen Betriebsunterbrechung führt.
Abhilfe
Wenn Sie Ihre Funktion so konfigurieren, dass sie VPC in Ihrem Konto eine Verbindung zu einem herstellt, geben Sie mehrere Subnetze an, um eine hohe Verfügbarkeit AZs zu gewährleisten. Anweisungen finden Sie unter VPCZugriff konfigurieren im AWS Lambda Entwicklerhandbuch.
Lambda führt automatisch mehrere Funktionen aus, AZs um sicherzustellen, dass es für die Verarbeitung von Ereignissen im Falle einer Serviceunterbrechung in einer einzelnen Zone verfügbar ist.
[Lambda.6] Lambda-Funktionen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::Lambda::Function
AWS Config Regel: tagged-lambda-function (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob eine AWS Lambda Funktion über Tags mit den spezifischen Tasten verfügt, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn die Funktion keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Funktion mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer Lambda-Funktion finden Sie unter Verwenden von Tags für Lambda-Funktionen im AWS Lambda Entwicklerhandbuch.
