Contrôles Security Hub pour Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ces contrôles Security Hub évaluent le service et les ressources Amazon Elastic Container Service (Amazon ECS).

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

Règle AWS Config  : ecs-task-definition-user-for-host-mode-check

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une définition de tâche Amazon ECS active en mode réseau hôte possède privileged ou non des définitions de user conteneur. Le contrôle échoue pour les définitions de tâches dont le mode réseau hôte et les définitions de privileged=false conteneur sont vides ou vides. user=root

Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.

L'objectif de ce contrôle est de garantir que l'accès est défini intentionnellement lorsque vous exécutez des tâches utilisant le mode réseau hôte. Si une définition de tâche possède des privilèges élevés, c'est parce que vous avez choisi cette configuration. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche a activé le réseau hôte et que vous ne choisissez pas de privilèges élevés.

Correction

Pour plus d'informations sur la mise à jour d'une définition de tâche, consultez la section Mise à jour d'une définition de tâche dans le manuel Amazon Elastic Container Service Developer Guide.

Lorsque vous mettez à jour une définition de tâche, elle ne met pas à jour les tâches en cours qui ont été lancées à partir de la définition de tâche précédente. Pour mettre à jour une tâche en cours d'exécution, vous devez la redéployer avec la nouvelle définition de tâche.

[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS

Exigences associées : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Élevée

Type de ressource : AWS::ECS::Service

AWS Config règle : ecs-service-assign-public-ip-disabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les services Amazon ECS sont configurés pour attribuer automatiquement des adresses IP publiques. Ce contrôle échoue si tel AssignPublicIP est le casENABLED. Ce contrôle passe si tel AssignPublicIP est le casDISABLED.

Une adresse IP publique est une adresse IP accessible depuis Internet. Si vous lancez vos instances Amazon ECS avec une adresse IP publique, elles sont accessibles depuis Internet. Les services Amazon ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.

Correction

Vous devez d'abord créer une définition de tâche pour votre cluster qui utilise le mode awsvpc réseau et spécifie FARGATE pour. requiresCompatibilities Ensuite, pour la configuration de calcul, choisissez le type de lancement et FARGATE. Enfin, dans le champ Réseau, désactivez l'adresse IP publique pour désactiver l'attribution automatique d'adresses IP publiques à votre service.

[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Identifier > Configuration des ressources

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

AWS Config règle : ecs-task-definition-pid-mode-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les définitions de tâches Amazon ECS sont configurées pour partager l'espace de noms de processus d'un hôte avec ses conteneurs. Le contrôle échoue si la définition de tâche partage l'espace de noms de processus de l'hôte avec les conteneurs qui y sont exécutés. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.

Un espace de noms d'ID de processus (PID) permet de séparer les processus. Il empêche les processus du système d'être visibles et permet PIDs leur réutilisation, y compris le PID 1. Si l'espace de noms PID de l'hôte est partagé avec des conteneurs, cela permettra aux conteneurs de voir tous les processus du système hôte. Cela réduit l'avantage de l'isolation au niveau du processus entre l'hôte et les conteneurs. Ces circonstances peuvent entraîner un accès non autorisé aux processus sur l'hôte lui-même, y compris la capacité de les manipuler et d'y mettre fin. Les clients ne doivent pas partager l'espace de noms de processus de l'hôte avec les conteneurs qui s'exécutent sur celui-ci.

Correction

Pour configurer la pidMode définition d'une tâche, consultez la section Paramètres de définition de tâche dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Catégorie : Protection > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

Règle AWS Config : ecs-containers-nonprivileged

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le privileged paramètre de la définition du conteneur des définitions de tâches Amazon ECS est défini surtrue. Le contrôle échoue si ce paramètre est égal àtrue. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.

Nous vous recommandons de supprimer les privilèges élevés de vos définitions de tâches ECS. Lorsque le paramètre de privilège est définitrue, le conteneur reçoit des privilèges élevés sur l'instance du conteneur hôte (comme l'utilisateur root).

Correction

Pour configurer le privileged paramètre sur une définition de tâche, consultez la section Paramètres avancés de définition de conteneur dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.5] Les conteneurs ECS devraient être limités à l'accès en lecture seule aux systèmes de fichiers racine

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

Règle AWS Config : ecs-containers-readonly-access

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les conteneurs Amazon ECS sont limités à l'accès en lecture seule aux systèmes de fichiers racines montés. Le contrôle échoue si le readonlyRootFilesystem paramètre est défini sur false ou s'il n'existe pas dans la définition du conteneur au sein de la définition de tâche. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.

L'activation de cette option réduit les vecteurs d'attaques de sécurité, car le système de fichiers de l'instance de conteneur ne peut pas être altéré ni écrit à moins qu'il ne dispose d'autorisations de lecture-écriture explicites sur le dossier et les répertoires de son système de fichiers. Ce contrôle respecte également le principe du moindre privilège.

Correction

[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2

Catégorie : Protéger > Développement sécurisé > Les informations d'identification ne sont pas codées en dur

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

Règle AWS Config : ecs-no-environment-secrets

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si la valeur clé de l'une des variables du environment paramètre des définitions de conteneur inclut AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, ouECS_ENGINE_AUTH_DATA. Ce contrôle échoue si une seule variable d'environnement dans une définition de conteneur est égale à AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, ouECS_ENGINE_AUTH_DATA. Ce contrôle ne couvre pas les variables environnementales transmises depuis d'autres sites tels qu'Amazon S3. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.

AWS Systems Manager Parameter Store peut vous aider à améliorer le niveau de sécurité de votre organisation. Nous vous recommandons d'utiliser le Parameter Store pour stocker les secrets et les informations d'identification au lieu de les transmettre directement à vos instances de conteneur ou de les coder en dur dans votre code.

Correction

Pour créer des paramètres à l'aide de SSM, reportez-vous à la section Création de paramètres de Systems Manager dans le guide de AWS Systems Manager l'utilisateur. Pour plus d'informations sur la création d'une définition de tâche spécifiant un secret, consultez la section Spécification de données sensibles à l'aide de Secrets Manager dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Élevée

Type de ressource : AWS::ECS::TaskDefinition

AWS Config règle : ecs-task-definition-log -configuration

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une configuration de journalisation est spécifiée pour la dernière définition de tâche Amazon ECS active. Le contrôle échoue si la logConfiguration propriété de la définition de tâche n'est pas définie ou si la valeur de logDriver est nulle dans au moins une définition de conteneur.

La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances d'Amazon ECS. La collecte de données à partir des définitions de tâches apporte de la visibilité, ce qui peut vous aider à déboguer les processus et à identifier la cause première des erreurs. Si vous utilisez une solution de journalisation qui n'a pas besoin d'être définie dans la définition des tâches ECS (telle qu'une solution de journalisation tierce), vous pouvez désactiver ce contrôle après vous être assuré que vos journaux sont correctement capturés et transmis.

Correction

Pour définir une configuration de journal pour vos définitions de tâches Amazon ECS, consultez la section Spécification d'une configuration de journal dans votre définition de tâche dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Moyenne

Type de ressource : AWS::ECS::Service

Règle AWS Config : ecs-fargate-latest-platform-version

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Ce contrôle échoue si la version de la plateforme n'est pas la plus récente.

AWS Fargate les versions de plate-forme font référence à un environnement d'exécution spécifique pour l'infrastructure de tâches Fargate, qui est une combinaison de versions d'exécution du noyau et du conteneur. De nouvelles versions de plate-forme sont publiées au fur et à mesure de l'évolution de l'environnement d'exécution. Par exemple, une nouvelle version peut être publiée pour les mises à jour du noyau ou du système d'exploitation, les nouvelles fonctionnalités, les corrections de bogues ou les mises à jour de sécurité. Des mises à jour de sécurité et des correctifs sont déployés automatiquement pour vos tâches  Fargate. Si un problème de sécurité affectant une version de plate-forme est détecté, appliquez un AWS correctif à cette version.

Correction

Pour mettre à jour un service existant, y compris sa version de plateforme, consultez la section Mise à jour d'un service dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.12] Les clusters ECS doivent utiliser Container Insights

Exigences connexes : NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::ECS::Cluster

Règle AWS Config : ecs-container-insights-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les clusters ECS utilisent Container Insights. Ce contrôle échoue si Container Insights n'est pas configuré pour un cluster.

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des clusters Amazon ECS. Utilisez CloudWatch Container Insights pour collecter, agréger et résumer les métriques et les journaux de vos applications conteneurisées et de vos microservices. CloudWatch collecte automatiquement des métriques pour de nombreuses ressources, telles que le processeur, la mémoire, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights.

Correction

Pour utiliser Container Insights, consultez la section Mettre à jour un service dans le guide de CloudWatch l'utilisateur Amazon.

[ECS.13] Les services ECS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::ECS::Service

AWS Config règle : tagged-ecs-service (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un service Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un service ECS, consultez la section Marquage de vos ressources Amazon ECS dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.14] Les clusters ECS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::ECS::Cluster

AWS Config règle : tagged-ecs-cluster (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un cluster Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un cluster ECS, consultez la section Marquage de vos ressources Amazon ECS dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.15] Les définitions de tâches ECS doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::ECS::TaskDefinition

AWS Config règle : tagged-ecs-taskdefinition (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une définition de tâche Amazon ECS comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la définition de tâche ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la définition de tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à une définition de tâche ECS, consultez la section Marquage de vos ressources Amazon ECS dans le manuel Amazon Elastic Container Service Developer Guide.

[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques

Exigences connexes : PCI DSS v4.0.1/1.4.4

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Élevée

Type de ressource : AWS::ECS::TaskSet

AWS Config règle : ecs-taskset-assign-public-ip-disabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un ensemble de tâches Amazon ECS est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue s'il AssignPublicIP est défini surENABLED.

Une adresse IP publique est accessible depuis Internet. Si vous configurez votre ensemble de tâches avec une adresse IP publique, les ressources associées à l'ensemble de tâches sont accessibles depuis Internet. Les ensembles de tâches ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.

Correction

Pour mettre à jour un ensemble de tâches ECS afin qu'il n'utilise pas d'adresse IP publique, consultez la section Mise à jour d'une définition de tâche Amazon ECS à l'aide de la console dans le manuel Amazon Elastic Container Service Developer Guide.