Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerungen für AWS Lambda
Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Lambda Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Kritisch
**Art der Ressource:** `AWS::Lambda::Function`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob die ressourcenbasierte Richtlinie der Lambda-Funktion den öffentlichen Zugriff außerhalb Ihres Kontos verbietet. Die Kontrolle schlägt fehl, wenn der öffentliche Zugriff zulässig ist. Die Kontrolle schlägt auch fehl, wenn eine Lambda-Funktion von Amazon S3 aus aufgerufen wird und die Richtlinie keine Bedingung zur Beschränkung des öffentlichen Zugriffs enthält, wie z. `AWS:SourceAccount` Wir empfehlen, andere S3-Bedingungen zusammen mit `AWS:SourceAccount` in Ihrer Bucket-Richtlinie zu verwenden, um den Zugriff zu verfeinern.
**Anmerkung**
Dieses Steuerelement bewertet keine Richtlinienbedingungen, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Richtlinie für die Lambda-Funktion nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Die Lambda-Funktion sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihren Funktionscode ermöglichen kann.
### Abhilfe
Um dieses Problem zu beheben, müssen Sie die ressourcenbasierte Richtlinie Ihrer Funktion aktualisieren, um Berechtigungen zu entfernen oder die Bedingung hinzuzufügen. `AWS:SourceAccount` Sie können die ressourcenbasierte Richtlinie nur über die Lambda-API oder aktualisieren. AWS CLI
[Überprüfen Sie zunächst die ressourcenbasierte Richtlinie auf](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) der Lambda-Konsole. Identifizieren Sie die Richtlinienaussage, deren `Principal` Feldwerte die Richtlinie öffentlich machen, z. B. oder. `"*"` `{ "AWS": "*" }`
Sie können die Richtlinie nicht von der Konsole aus bearbeiten. Um der Funktion Berechtigungen zu entziehen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)Befehl über den aus AWS CLI.
```
$ aws lambda remove-permission --function-name --statement-id
```
``Ersetzen Sie durch den Namen der Lambda-Funktion und `` durch die Anweisungs-ID (`Sid`) der Anweisung, die Sie entfernen möchten.
## [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Kategorie:** Schutz > Sichere Entwicklung
**Schweregrad:** Mittel
**Ressourcentyp:** `AWS::Lambda::Function`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (nicht anpassbar)
Dieses Steuerelement prüft, ob die Laufzeiteinstellungen der AWS Lambda Funktionen mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Die Steuerung schlägt fehl, wenn die Lambda-Funktion keine unterstützte Laufzeit verwendet, wie im Abschnitt Parameter angegeben. Security Hub CSPM ignoriert Funktionen mit dem Pakettyp. `Image`
Lambda-Laufzeiten basieren auf einer Kombination aus Betriebssystem, Programmiersprache und Softwarebibliotheken, die Wartungs- und Sicherheitsupdates unterliegen. Wenn eine Laufzeitkomponente für Sicherheitsupdates nicht mehr unterstützt wird, hat Lambda die Laufzeit als veraltet eingestuft. Auch wenn Sie keine Funktionen erstellen können, die die veraltete Runtime verwenden, ist die Funktion dennoch für die Verarbeitung von Aufrufereignissen verfügbar. Wir empfehlen sicherzustellen, dass Ihre Lambda-Funktionen aktuell sind und keine veralteten Laufzeitumgebungen verwenden. *Eine Liste der unterstützten Laufzeiten finden Sie unter [Lambda-Laufzeiten im AWS Lambda Developer](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) Guide.*
### Abhilfe
*Weitere Informationen zu unterstützten Laufzeiten und Zeitplänen für veraltete Versionen finden Sie unter [Runtime Deprecation](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) Policy im Developer Guide.AWS Lambda * Wenn Sie Ihre Laufzeiten auf die neueste Version migrieren, folgen Sie der Syntax und Anleitung der Herausgeber der Sprache. Wir empfehlen außerdem, [Runtime-Updates zu installieren](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls), um das Risiko einer Beeinträchtigung Ihrer Workloads im seltenen Fall einer Runtime-Versionsinkompatibilität zu verringern.
## [Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden
**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Niedrig
**Ressourcentyp:** `AWS::Lambda::Function`
**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob eine Lambda-Funktion in einer Virtual Private Cloud (VPC) bereitgestellt ist. Die Steuerung schlägt fehl, wenn die Lambda-Funktion nicht in einer VPC bereitgestellt wird. Security Hub CSPM bewertet die Konfiguration des VPC-Subnetz-Routings nicht, um die öffentliche Erreichbarkeit zu ermitteln. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda @Edge -Ressourcen angezeigt.
Die Bereitstellung von Ressourcen in einer VPC verbessert die Sicherheit und Kontrolle über Netzwerkkonfigurationen. Solche Bereitstellungen bieten auch Skalierbarkeit und hohe Fehlertoleranz über mehrere Availability Zones hinweg. Sie können VPC-Bereitstellungen an unterschiedliche Anwendungsanforderungen anpassen.
### Abhilfe
*Informationen zur Konfiguration einer vorhandenen Funktion zum Herstellen einer Verbindung zu privaten Subnetzen in Ihrer VPC finden Sie unter [Konfiguration des VPC-Zugriffs im AWS Lambda Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring).* Wir empfehlen, mindestens zwei private Subnetze für hohe Verfügbarkeit und mindestens eine Sicherheitsgruppe auszuwählen, die die Konnektivitätsanforderungen der Funktion erfüllt.
## [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Lambda::Function`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Mindestanzahl von Availability Zones | Enum | `2, 3, 4, 5, 6` | `2` |
Dieses Steuerelement prüft, ob eine AWS Lambda Funktion, die eine Verbindung zu einer Virtual Private Cloud (VPC) herstellt, in mindestens der angegebenen Anzahl von Availability Zone (AZs) betrieben wird. Die Steuerung schlägt fehl, wenn die Funktion nicht in mindestens der angegebenen Anzahl von AZs funktioniert. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angeben AZs, verwendet Security Hub CSPM einen Standardwert von 2. AZs
Die Bereitstellung mehrerer Ressourcen AZs ist eine AWS bewährte Methode, um eine hohe Verfügbarkeit innerhalb Ihrer Architektur sicherzustellen. Verfügbarkeit ist eine zentrale Säule des dreifachen Sicherheitsmodells für Vertraulichkeit, Integrität und Verfügbarkeit. Alle Lambda-Funktionen, die eine Verbindung zu einer VPC herstellen, sollten über eine Multi-AZ-Bereitstellung verfügen, um sicherzustellen, dass eine einzelne Ausfallzone nicht zu einer vollständigen Betriebsunterbrechung führt.
### Abhilfe
Wenn Sie Ihre Funktion so konfigurieren, dass sie eine Verbindung zu einer VPC in Ihrem Konto herstellt, geben Sie mehrere Subnetze an, um eine hohe AZs Verfügbarkeit zu gewährleisten. Anweisungen finden Sie unter [Konfiguration des VPC-Zugriffs](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) im *AWS Lambda Entwicklerhandbuch*.
Lambda führt automatisch mehrere Funktionen aus, AZs um sicherzustellen, dass es für die Verarbeitung von Ereignissen im Falle einer Serviceunterbrechung in einer einzelnen Zone verfügbar ist.
## [Lambda.6] Lambda-Funktionen sollten markiert werden
**Kategorie: Identifizieren > Inventar > Tagging**
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::Lambda::Function`
**AWS Config Regel:** `tagged-lambda-function` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | No default value |
Dieses Steuerelement prüft, ob eine AWS Lambda Funktion über Tags mit den spezifischen Tasten verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Funktion keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Funktion mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einer Lambda-Funktion finden Sie unter [Verwenden von Tags für Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) im *AWS Lambda Entwicklerhandbuch*.
## [Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray
**Verwandte Anforderungen:** NIST.800-53.r5 CA-7
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::Lambda::Function`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob das aktive Tracing mit für eine AWS Lambda Funktion aktiviert AWS X-Ray ist. Die Steuerung schlägt fehl, wenn das aktive Tracing mit X-Ray für die Lambda-Funktion deaktiviert ist.
AWS X-Ray kann AWS Lambda Funktionen zur Nachverfolgung und Überwachung bereitstellen, wodurch Zeit und Mühe beim Debuggen und Bedienen von Lambda-Funktionen eingespart werden können. Es kann Ihnen helfen, Fehler zu diagnostizieren und Leistungsengpässe, Verlangsamungen und Timeouts zu identifizieren, indem es die Latenz für Lambda-Funktionen aufschlüsselt. Es kann auch bei Datenschutz- und Compliance-Anforderungen helfen. Wenn Sie die aktive Ablaufverfolgung für eine Lambda-Funktion aktivieren, bietet X-Ray einen ganzheitlichen Überblick über den Datenfluss und die Verarbeitung innerhalb der Lambda-Funktion, sodass Sie potenzielle Sicherheitslücken oder nicht konforme Datenverarbeitungspraktiken identifizieren können. Diese Transparenz kann Ihnen helfen, Datenintegrität und Vertraulichkeit zu wahren und die Einhaltung relevanter Vorschriften zu gewährleisten.
**Anmerkung**
AWS X-Ray Die Ablaufverfolgung wird derzeit nicht für Lambda-Funktionen mit Amazon Managed Streaming for Apache Kafka (Amazon MSK), selbstverwaltetem Apache Kafka, Amazon MQ mit ActiveMQ und RabbitMQ oder Amazon DocumentDB DocumentDB-Ereignisquellenzuordnungen unterstützt.
### Abhilfe
*Informationen zur Aktivierung von Active Tracing für eine AWS Lambda Funktion finden Sie unter [Visualize Lambda function invocations using AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) im Developer Guide.AWS Lambda *