Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Transfer Family
Ces AWS Security Hub les contrôles évaluent le AWS Transfer Family service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[Transfer.1] AWS Transfer Family les flux de travail doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Transfer::Workflow
AWS Config règle : tagged-transfer-workflow (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS Transfer Family le flux de travail comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le flux de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un flux de travail Transfer Family (console)
Ouvrez le fichier AWS Transfer Family console.
Dans le volet de navigation, sélectionnez Workflows. Sélectionnez ensuite le flux de travail que vous souhaitez baliser.
Choisissez Gérer les balises, puis ajoutez les balises.
[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux
Exigences connexes : NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::Transfer::Server
AWS Config règle : transfer-family-server-no-ftp
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un AWS Transfer Family le serveur utilise un protocole autre que celui de la connexion FTP au point de terminaison. Le contrôle échoue si le serveur utilise un FTP protocole permettant à un client de se connecter au point de terminaison du serveur.
FTP(File Transfer Protocol) établit la connexion du terminal via des canaux non cryptés, ce qui rend les données envoyées via ces canaux vulnérables à l'interception. L'utilisation de SFTP (SSHprotocole de transfert de fichiers), FTPS (protocole de transfert de fichiers sécurisé) ou AS2 (déclaration d'applicabilité 2) offre un niveau de sécurité supplémentaire en chiffrant vos données en transit et peut être utilisée pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau.
Correction
Pour modifier le protocole d'un serveur Transfer Family, voir Modifier les protocoles de transfert de fichiers dans AWS Transfer Family Guide de l'utilisateur.
