Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon EFS
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon Elastic File System (AmazonEFS).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::EFS::FileSystem
Regla de AWS Config : efs-encrypted-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo mediante AWS KMS. La comprobación falla en los siguientes casos.
-
Encryptedse establece enfalseen la respuesta deDescribeFileSystems. -
La clave
KmsKeyIdde la respuesta deDescribeFileSystemsno coincide con el parámetroKmsKeyIddeefs-encrypted-check.
Tenga en cuenta que este control no utiliza el parámetro KmsKeyId para efs-encrypted-check. Solo comprueba el valor de Encrypted.
Para aumentar la seguridad de tus datos confidenciales en AmazonEFS, debes crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de los sistemas de archivos en reposo. Puedes activar el cifrado de los datos en reposo al crear un sistema de EFS archivos de Amazon. Para obtener más información sobre el EFS cifrado de Amazon, consulte Cifrado de datos en Amazon EFS en la Guía del usuario de Amazon Elastic File System.
Corrección
Para obtener más información sobre cómo cifrar un nuevo sistema de EFS archivos de Amazon, consulte Cifrado de datos en reposo en la Guía del usuario de Amazon Elastic File System.
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Categoría: Recuperación > Resiliencia > Backup
Gravedad: media
Tipo de recurso: AWS::EFS::FileSystem
Regla de AWS Config : efs-in-backup-plan
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si los sistemas de archivos Amazon Elastic File System (AmazonEFS) se han añadido a los planes de backup incluidos AWS Backup. El control falla si los sistemas de EFS archivos de Amazon no están incluidos en los planes de respaldo.
La inclusión de sistemas de EFS archivos en los planes de respaldo le ayuda a proteger sus datos contra la eliminación o la pérdida de datos.
Corrección
Para habilitar las copias de seguridad automáticas para un sistema de EFS archivos de Amazon existente, consulta Cómo empezar 4: Crear copias de seguridad EFS automáticas de Amazon en la Guía para AWS Backup desarrolladores.
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
Requisitos relacionados: NIST.800-53.r5 AC-6 (10)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::EFS::AccessPoint
Regla de AWS Config : efs-access-point-enforce-root-directory
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los puntos de EFS acceso de Amazon están configurados para aplicar un directorio raíz. El control falla si el valor Path se establece como / (el directorio raíz predeterminado del sistema de archivos).
Cuando se aplica un directorio raíz, el NFS cliente que usa el punto de acceso usa el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos, ya que garantiza que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.
Corrección
Para obtener instrucciones sobre cómo aplicar un directorio raíz para un punto de EFS acceso de Amazon, consulte Imponer un directorio raíz con un punto de acceso en la Guía del usuario de Amazon Elastic File System.
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
Requisitos relacionados: NIST.800-53.r5 AC-6 (2)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::EFS::AccessPoint
Regla de AWS Config : efs-access-point-enforce-user-identity
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los puntos de EFS acceso de Amazon están configurados para imponer la identidad de un usuario. Este control falla si no se define la identidad de un POSIX usuario al crear el punto de EFS acceso.
Los puntos de EFS acceso de Amazon son puntos de entrada específicos de la aplicación a un sistema de EFS archivos que facilitan la gestión del acceso de las aplicaciones a los conjuntos de datos compartidos. Los puntos de acceso pueden imponer la identidad de un usuario, incluidos los POSIX grupos de usuarios, para todas las solicitudes del sistema de archivos que se realicen a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.
Corrección
Para hacer cumplir la identidad de un usuario para un punto de EFS acceso de Amazon, consulte Imponer una identidad de usuario mediante un punto de acceso en la Guía del usuario de Amazon Elastic File System.
[EFS.5] los puntos de EFS acceso deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::EFS::AccessPoint
Regla de AWS Config: tagged-efs-accesspoint (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos | Sin valor predeterminado |
Este control comprueba si un punto de EFS acceso de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el punto de acceso no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el punto de acceso no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un punto de EFS acceso, consulte Etiquetado de EFS los recursos de Amazon en la Guía del usuario de Amazon Elastic File System.
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: media
Tipo de recurso: AWS::EFS::FileSystem
Regla de AWS Config : efs-mount-target-public-accessible
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un destino de EFS montaje de Amazon está asociado a una subred privada. El control falla si el destino de montaje está asociado a una subred pública.
De forma predeterminada, solo se puede acceder a un sistema de archivos desde la nube privada virtual (VPC) en la que lo creó. Recomendamos crear objetivos de EFS montaje en subredes privadas a las que no se pueda acceder desde Internet. Esto ayuda a garantizar que solo los usuarios autorizados puedan acceder a su sistema de archivos y que no sea vulnerable a ataques o accesos no autorizados.
Corrección
No puede cambiar la asociación entre un objetivo de EFS montaje y una subred después de crear el objetivo de montaje. Para asociar un objetivo de montaje existente a una subred diferente, debe crear un nuevo objetivo de montaje en una subred privada y, a continuación, eliminar el objetivo de montaje anterior. Para obtener información sobre la administración de objetivos de montaje, consulte Creación y administración de objetivos de montaje y grupos de seguridad en la Guía del usuario de Amazon Elastic File System.
