View a markdown version of this page

Kontrol Security Hub lainnya di Accelerate - Panduan Pengguna AMS Accelerate
Lambda.3 - Fungsi Lambda harus dalam VPCS3.17 - ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keysKMS.2 - Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMSS3.9 - Bucket tujuan umum S3 harus mengaktifkan logging akses serverEC2.6 - Pencatatan aliran VPC harus diaktifkan di semua VPCs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub lainnya di Accelerate

Kontrol kompensasi berikut tersedia di Accelerate.

Lambda.3 - Fungsi Lambda harus dalam VPC

Sumber Daya:

  • AMSAlarmManagerDeploymentHandler

  • AMSAlarmManagerOrphanedAlarmCleanup

  • AMSAlarmManagerRemediation

  • AMSAlarmManagerReporting

  • AMSAlarmManagerTriggerEvaluation

  • AMSAlarmManagerValidation

  • AMSConfigExtensionDeploymentHandler

  • AMSConfigFSXExtension

  • AMSConfigOutpostExtension

  • AMSConfigSyntheticCanaryExtension

AWS Lambda Fungsi yang digunakan oleh AMS tidak berkomunikasi dengan sumber daya di akun Anda. Oleh karena itu, mereka tidak memerlukan Elastic Network Interfaces (ENIs) atau penempatan VPC khusus. Menerapkan fungsi-fungsi ini di luar VPC mengurangi biaya dan meningkatkan kecepatan penerapan. Pendekatan ini tidak menimbulkan masalah keamanan untuk komunikasi intra-sumber daya. Karena fungsi Lambda ini beroperasi secara independen dan tidak mengakses sumber daya berbasis VPC, penyebaran VPC menambah kompleksitas dan biaya yang tidak perlu tanpa memberikan manfaat keamanan tambahan.

S3.17 - ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys

Sumber Daya:

  • <account_id>arn:aws:s3: ::ams-a -alarmmanager- <region>

Bucket Amazon Simple Storage Service yang digunakan oleh sistem AMS Alarm Manager menggunakan kunci enkripsi yang dikelola Amazon (SSE-S3) alih-alih kunci KMS yang dikelola pelanggan (SSE-KMS). Menerapkan kunci yang dikelola pelanggan mengharuskan Anda memberikan izin eksplisit AMS untuk menggunakan kunci KMS Anda melalui kebijakan utama. Ini memperkenalkan kompleksitas dan risiko operasional tambahan. Menggunakan kontrol ini memberikan enkripsi yang kuat saat istirahat sambil menghindari biaya tambahan dan kompleksitas operasional untuk Anda.

Jika Anda mengubah kebijakan kunci, memutar kunci secara tidak benar, atau secara tidak sengaja menghapus atau menonaktifkan kunci Anda, pemantauan AMS segera gagal untuk Anda. Ketergantungan pada ketersediaan kunci yang dikelola pelanggan ini membahayakan infrastruktur pemantauan dan peringatan AMS yang kritis. Ini berpotensi mengganggu kemampuan pemantauan waktu nyata, pengiriman peringatan, respons insiden, dan visibilitas kesehatan layanan. Kunci enkripsi yang dikelola Amazon secara otomatis mengenkripsi data saat istirahat tanpa mengharuskan Anda mengelola kebijakan utama, jadwal rotasi, atau izin akses. Implementasi ini memenuhi persyaratan enkripsi sambil mempertahankan efisiensi biaya dan kesederhanaan operasional untuk infrastruktur yang AMS dikelola.

Sumber Daya:

  • <account_id><region>arn:aws:s3: ::ams-a -cloudtrail-log- -audit

Bucket logging AWS CloudTrail audit tidak dapat menggunakan AWS KMS enkripsi karena keterbatasan AWS layanan. Bucket S3 yang berfungsi sebagai tujuan pencatatan akses server tidak boleh mengaktifkan enkripsi kunci KMS. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default dan Memecahkan masalah pencatatan akses server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Mengaktifkan AWS KMS enkripsi pada bucket tujuan pencatatan dapat menyebabkan kegagalan pencatatan dan menimbulkan masalah operasional. Bucket ini menggunakan enkripsi terkelola Amazon S3 (SSE-S3) sebagai gantinya. Ini menyediakan enkripsi saat istirahat sambil mempertahankan kompatibilitas dengan fungsionalitas pencatatan akses server S3.

KMS.2 - Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

Sumber Daya:

  • Kunci KMS: alias/ams/patchreporting

Kebijakan inline berisi “Resource”: ["*"] dalam kebijakan kunci KMS, yang merupakan kebijakan berbasis sumber daya yang dilampirkan ke kunci KMS tertentu (ams_ssm_inventory_bucket_kms_key). Kebijakan kunci secara inheren dicakup ke kunci individual, dan menggunakan* dalam elemen Resource adalah AWS praktik standar karena cakupan kebijakan sudah dibatasi oleh kunci itu sendiri. Untuk informasi selengkapnya, lihat Membuat kebijakan kunci dan kebijakan kunci default di Panduan AWS KMS keys Pengembang. Konfigurasi ini tidak menimbulkan risiko keamanan karena akses terbatas pada satu kunci KMS, tidak semua kunci di akun.

S3.9 - Bucket tujuan umum S3 harus mengaktifkan logging akses server

Sumber Daya:

  • ams-config-recorder-bucket- <account_id>-audit

Bucket S3 ini adalah bucket tujuan pencatatan akses untuk AWS Config bucket Recorder. S3 merekomendasikan untuk tidak menyiapkan pencatatan akses pada bucket ini karena akan menghasilkan loop logging yang tak terbatas, sehingga menaikkan biaya yang tidak perlu. AWS Security Hub sebaliknya merekomendasikan bahwa sumber daya dalam skenario ini harus memiliki temuan yang ditekan.

Remediasi:

Anda harus menekan temuan ini untuk ember yang terpengaruh ini karena temuannya tidak berguna. Jika Anda tidak ingin menekan temuan, maka Anda dapat secara opsional mengonfigurasi self-logging pada bucket. Pencatatan sendiri memiliki risiko bahwa logging mungkin dihapus jika AMS memperbarui bucket.

EC2.6 - Pencatatan aliran VPC harus diaktifkan di semua VPCs

Sumber Daya:

  • Default vpc pada pembuatan akun

Secara default, AMS tidak mengaktifkan log Aliran VPC untuk VPC default.

Remediasi:

Anda dapat memulihkan kontrol sendiri dengan menambahkan kunci/nilai ams:managed=true tag, membersihkan status aturan konfigurasi dan menjalankan kembali evaluasi aturan. Komponen auto-remediasi AMS memungkinkan VPC Flow Logs pada vpc.