Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon EFS
Ces contrôles Security Hub évaluent le service et les ressources Amazon Elastic File System (AmazonEFS).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS
Exigences associées : CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6) NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::EFS::FileSystem
Règle AWS Config : efs-encrypted-check
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données du fichier à l'aide AWS KMS de. La vérification échoue dans les cas suivants.
-
Encryptedest défini surfalsedans la réponseDescribeFileSystems. -
La clé
KmsKeyIdde laDescribeFileSystemsréponse ne correspond pas au paramètreKmsKeyIdpourefs-encrypted-check.
Notez que ce contrôle n'utilise pas le paramètre KmsKeyId pour efs-encrypted-check. Il ne vérifie que la valeur de Encrypted.
Pour renforcer la sécurité de vos données sensibles sur AmazonEFS, vous devez créer des systèmes de fichiers cryptés. Amazon EFS prend en charge le chiffrement pour les systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de EFS fichiers Amazon. Pour en savoir plus sur le EFS chiffrement Amazon, consultez la section Chiffrement des données sur Amazon EFS dans le manuel Amazon Elastic File System User Guide.
Correction
Pour en savoir plus sur le chiffrement d'un nouveau système de EFS fichiers Amazon, consultez la section Chiffrement des données au repos dans le manuel Amazon Elastic File System User Guide.
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Catégorie : Restaurer > Résilience > Backup
Gravité : Moyenne
Type de ressource : AWS::EFS::FileSystem
Règle AWS Config : efs-in-backup-plan
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (AmazonEFS) sont ajoutés aux plans de sauvegarde dans AWS Backup. Le contrôle échoue si les systèmes de EFS fichiers Amazon ne sont pas inclus dans les plans de sauvegarde.
L'inclusion de systèmes de EFS fichiers dans les plans de sauvegarde vous aide à protéger vos données contre la suppression et la perte de données.
Correction
Pour activer les sauvegardes automatiques pour un système de EFS fichiers Amazon existant, consultez Getting started 4 : Create Amazon EFS automatic backups dans le manuel du AWS Backup développeur.
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
Exigences connexes : NIST.800-53.r5 AC-6 (10)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::EFS::AccessPoint
Règle AWS Config : efs-access-point-enforce-root-directory
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les points EFS d'accès Amazon sont configurés pour appliquer un répertoire racine. Le contrôle échoue si la valeur de Path est définie sur / (le répertoire racine par défaut du système de fichiers).
Lorsque vous appliquez un répertoire racine, le NFS client utilisant le point d'accès utilise le répertoire racine configuré sur le point d'accès au lieu du répertoire racine du système de fichiers. L'application d'un répertoire racine pour un point d'accès permet de restreindre l'accès aux données en garantissant que les utilisateurs du point d'accès ne peuvent accéder qu'aux fichiers du sous-répertoire spécifié.
Correction
Pour savoir comment appliquer un répertoire racine à un point d'EFSaccès Amazon, consultez la section Application d'un répertoire racine par un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
Exigences connexes : NIST.800-53.r5 AC-6 (2)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::EFS::AccessPoint
Règle AWS Config : efs-access-point-enforce-user-identity
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les points EFS d'accès Amazon sont configurés pour renforcer l'identité d'un utilisateur. Ce contrôle échoue si aucune identité d'POSIXutilisateur n'est définie lors de la création du point EFS d'accès.
Les points EFS d'accès Amazon sont des points d'entrée spécifiques à une application dans un système de EFS fichiers qui facilitent la gestion de l'accès des applications aux ensembles de données partagés. Les points d'accès peuvent renforcer l'identité d'un utilisateur, y compris les POSIX groupes d'utilisateurs, pour toutes les demandes de système de fichiers effectuées via le point d'accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.
Correction
Pour renforcer l'identité d'un utilisateur pour un point d'EFSaccès Amazon, consultez la section Renforcer l'identité d'un utilisateur à l'aide d'un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.
[EFS.5] les points EFS d'accès doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EFS::AccessPoint
AWS Config règle : tagged-efs-accesspoint (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un point d'EFSaccès Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le point d'accès ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point d'accès n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un point d'EFSaccès, consultez la section Marquage EFS des ressources Amazon dans le guide de l'utilisateur Amazon Elastic File System.
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Moyenne
Type de ressource : AWS::EFS::FileSystem
Règle AWS Config : efs-mount-target-public-accessible
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si une cible de EFS montage Amazon est associée à un sous-réseau privé. Le contrôle échoue si la cible de montage est associée à un sous-réseau public.
Par défaut, un système de fichiers n'est accessible qu'à partir du cloud privé virtuel (VPC) dans lequel vous l'avez créé. Nous recommandons de créer des cibles de EFS montage dans des sous-réseaux privés qui ne sont pas accessibles depuis Internet. Cela permet de garantir que votre système de fichiers n'est accessible qu'aux utilisateurs autorisés et qu'il n'est pas vulnérable aux accès non autorisés ou aux attaques.
Correction
Vous ne pouvez pas modifier l'association entre une cible de EFS montage et un sous-réseau après avoir créé la cible de montage. Pour associer une cible de montage existante à un sous-réseau différent, vous devez créer une nouvelle cible de montage dans un sous-réseau privé, puis supprimer l'ancienne cible de montage. Pour plus d'informations sur la gestion des cibles de montage, consultez la section Création et gestion des cibles de montage et des groupes de sécurité dans le manuel Amazon Elastic File System User Guide.
