Contrôles Security Hub pour Amazon EFS - AWS Security Hub
[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur[EFS.5] les points EFS d'accès doivent être étiquetés[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers[EFS.8] les systèmes de EFS fichiers doivent être chiffrés au repos

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Amazon EFS

Ces contrôles Security Hub évaluent le service et les ressources Amazon Elastic File System (AmazonEFS).

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::EFS::FileSystem

Règle AWS Config  : efs-encrypted-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données du fichier à l'aide AWS KMS de. La vérification échoue dans les cas suivants.

Notez que ce contrôle n'utilise pas le paramètre KmsKeyId pour efs-encrypted-check. Il ne vérifie que la valeur de Encrypted.

Pour renforcer la sécurité de vos données sensibles sur AmazonEFS, vous devez créer des systèmes de fichiers cryptés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de EFS fichiers Amazon. Pour en savoir plus sur le EFS chiffrement Amazon, consultez la section Chiffrement des données sur Amazon EFS dans le manuel Amazon Elastic File System User Guide.

Correction

Pour en savoir plus sur le chiffrement d'un nouveau système de EFS fichiers Amazon, consultez la section Chiffrement des données au repos dans le manuel Amazon Elastic File System User Guide.

[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Catégorie : Restaurer > Résilience > Backup

Gravité : Moyenne

Type de ressource : AWS::EFS::FileSystem

Règle AWS Config  : efs-in-backup-plan

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (AmazonEFS) sont ajoutés aux plans de sauvegarde dans AWS Backup. Le contrôle échoue si les systèmes de EFS fichiers Amazon ne sont pas inclus dans les plans de sauvegarde.

L'inclusion de systèmes de EFS fichiers dans les plans de sauvegarde vous aide à protéger vos données contre la suppression et la perte de données.

Correction

Pour activer les sauvegardes automatiques pour un système de EFS fichiers Amazon existant, consultez Getting started 4 : Create Amazon EFS automatic backups dans le manuel du AWS Backup développeur.

[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

Exigences connexes : NIST.800-53.r5 AC-6 (10)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::EFS::AccessPoint

Règle AWS Config  : efs-access-point-enforce-root-directory

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les points EFS d'accès Amazon sont configurés pour appliquer un répertoire racine. Le contrôle échoue si la valeur de Path est définie sur / (le répertoire racine par défaut du système de fichiers).

Lorsque vous appliquez un répertoire racine, le NFS client utilisant le point d'accès utilise le répertoire racine configuré sur le point d'accès au lieu du répertoire racine du système de fichiers. L'application d'un répertoire racine pour un point d'accès permet de restreindre l'accès aux données en garantissant que les utilisateurs du point d'accès ne peuvent accéder qu'aux fichiers du sous-répertoire spécifié.

Correction

Pour savoir comment appliquer un répertoire racine à un point d'EFSaccès Amazon, consultez la section Application d'un répertoire racine par un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.

[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

Exigences connexes : NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::EFS::AccessPoint

Règle AWS Config  : efs-access-point-enforce-user-identity

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les points EFS d'accès Amazon sont configurés pour renforcer l'identité d'un utilisateur. Ce contrôle échoue si aucune identité d'POSIXutilisateur n'est définie lors de la création du point EFS d'accès.

Les points EFS d'accès Amazon sont des points d'entrée spécifiques à une application dans un système de EFS fichiers qui facilitent la gestion de l'accès des applications aux ensembles de données partagés. Les points d'accès peuvent renforcer l'identité d'un utilisateur, y compris les POSIX groupes d'utilisateurs, pour toutes les demandes de système de fichiers effectuées via le point d'accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.

Correction

Pour renforcer l'identité d'un utilisateur pour un point d'EFSaccès Amazon, consultez la section Renforcer l'identité d'un utilisateur à l'aide d'un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.

[EFS.5] les points EFS d'accès doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::EFS::AccessPoint

AWS Config règle : tagged-efs-accesspoint (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags répondant aux AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si un point d'EFSaccès Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le point d'accès ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point d'accès n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un point d'EFSaccès, consultez la section Marquage EFS des ressources Amazon dans le guide de l'utilisateur d'Amazon Elastic File System.

[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Moyenne

Type de ressource : AWS::EFS::FileSystem

Règle AWS Config  : efs-mount-target-public-accessible

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si une cible de EFS montage Amazon est associée à un sous-réseau privé. Le contrôle échoue si la cible de montage est associée à un sous-réseau public.

Par défaut, un système de fichiers n'est accessible qu'à partir du cloud privé virtuel (VPC) dans lequel vous l'avez créé. Nous recommandons de créer des cibles de EFS montage dans des sous-réseaux privés qui ne sont pas accessibles depuis Internet. Cela permet de garantir que votre système de fichiers n'est accessible qu'aux utilisateurs autorisés et qu'il n'est pas vulnérable aux accès non autorisés ou aux attaques.

Correction

Vous ne pouvez pas modifier l'association entre une cible de EFS montage et un sous-réseau après avoir créé la cible de montage. Pour associer une cible de montage existante à un sous-réseau différent, vous devez créer une nouvelle cible de montage dans un sous-réseau privé, puis supprimer l'ancienne cible de montage. Pour plus d'informations sur la gestion des cibles de montage, consultez la section Création et gestion des cibles de montage et des groupes de sécurité dans le manuel Amazon Elastic File System User Guide.

[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Moyenne

Type de ressource : AWS::EFS::FileSystem

Règle AWS Config  : efs-automatic-backups-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les sauvegardes automatiques sont activées sur un système de EFS fichiers Amazon. Ce contrôle échoue si les sauvegardes automatiques ne sont pas activées dans le système de EFS fichiers.

Une sauvegarde de données est une copie des données de votre système, de votre configuration ou de votre application qui est stockée séparément de l'original. L'activation de sauvegardes régulières vous permet de protéger les données importantes contre les événements imprévus tels que les défaillances du système, les cyberattaques ou les suppressions accidentelles. Une stratégie de sauvegarde robuste permet également une restauration plus rapide, la continuité des activités et une tranquillité d'esprit face à une perte de données potentielle.

Correction

Pour plus d'informations sur l'utilisation AWS Backup des systèmes de EFS fichiers, consultez la section Sauvegarde des systèmes de EFS fichiers dans le manuel Amazon Elastic File System User Guide

[EFS.8] les systèmes de EFS fichiers doivent être chiffrés au repos

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::EFS::FileSystem

Règle AWS Config  : efs-filesystem-ct-encrypted

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

kmsKeyArns

Liste séparée par des virgules des noms de ressources Amazon (ARNs) pour. AWS KMS keys S'il est fourni, le contrôle produit un PASSED résultat uniquement si le système de EFS fichiers est chiffré avec les KMS clés spécifiées.

StringList

KMSClé valide ARNs

Aucune valeur par défaut

Ce contrôle vérifie si un système de EFS fichiers Amazon chiffre les données avec AWS Key Management Service (AWS KMS). Le contrôle échoue si le système de fichiers n'est pas chiffré. Vous pouvez éventuellement inclure le kmsKeyArns paramètre pour vérifier si un système de fichiers est chiffré avec des KMS clés spécifiées.

Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.

Correction

Pour activer le chiffrement au repos pour un nouveau système de EFS fichiers, consultez la section Chiffrement des données au repos dans le manuel Amazon Elastic File System User Guide.