Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untuk Auto Scaling
Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon EC2 Auto Scaling.
Kontrol ini mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB
Persyaratan terkait: PCI DSS v3.2. 1/2.2, NIST.800-53.r5 CA-7, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 SI-2
Kategori: Identifikasi > Inventaris
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup
AWS Configaturan: autoscaling-group-elb-healthcheck-required
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling yang terkait dengan penyeimbang beban menggunakan pemeriksaan kesehatan Elastic Load Balancing (ELB). Kontrol gagal jika grup Auto Scaling tidak menggunakan pemeriksaan kesehatan ELB.
Pemeriksaan kesehatan ELB membantu memastikan bahwa grup Auto Scaling dapat menentukan kesehatan instans berdasarkan tes tambahan yang disediakan oleh penyeimbang beban. Menggunakan pemeriksaan kesehatan Elastic Load Balancing juga membantu mendukung ketersediaan aplikasi yang menggunakan grup EC2 Auto Scaling.
Remediasi
Untuk menambahkan pemeriksaan kesehatan Elastic Load Balancing, lihat Menambahkan pemeriksaan kesehatan Menambahkan Elastic Load Balancing di Panduan Pengguna Amazon EC2 Auto Scaling.
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup
AWS Configaturan: autoscaling-multiple-az
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
|
|
Jumlah minimum Availability Zone |
Enum |
|
|
Kontrol ini memeriksa apakah grup Penskalaan Otomatis Amazon EC2 mencakup setidaknya jumlah Availability Zone (AZ) yang ditentukan. Kontrol gagal jika grup Auto Scaling tidak menjangkau setidaknya jumlah AZ yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk jumlah minimum AZ, Security Hub CSPM menggunakan nilai default dua AZ.
Grup Auto Scaling yang tidak menjangkau beberapa AZ tidak dapat meluncurkan instance di AZ lain untuk mengkompensasi jika AZ tunggal yang dikonfigurasi menjadi tidak tersedia. Namun, grup Auto Scaling dengan satu Availability Zone mungkin lebih disukai dalam beberapa kasus penggunaan, seperti pekerjaan batch atau ketika biaya transfer antar-AZ harus dijaga seminimal mungkin. Dalam kasus seperti itu, Anda dapat menonaktifkan kontrol ini atau menekan temuannya.
Remediasi
Untuk menambahkan AZ ke grup Auto Scaling yang ada, lihat Menambahkan dan menghapus Availability Zone di Panduan Pengguna Amazon EC2 Auto Scaling.
[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi instans EC2 agar memerlukan Layanan Metadata Instans Versi 2 (IMDSv2)
Persyaratan terkait: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0. 1/2.2.6
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration
AWS Configaturan: autoscaling-launchconfig-requires-imdsv2
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah IMDSv2 diaktifkan pada semua instans yang diluncurkan oleh grup Amazon EC2 Auto Scaling. Kontrol gagal jika versi Instance Metadata Service (IMDS) tidak disertakan dalam konfigurasi peluncuran atau dikonfigurasi sebagaitoken optional, yang merupakan pengaturan yang memungkinkan IMDSv1 atau IMDSv2.
IMDS menyediakan data tentang instans yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan.
IMDS versi 2 menambahkan perlindungan baru yang tidak tersedia di IMDSv1 untuk lebih melindungi instans EC2 Anda.
Remediasi
Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru dengan IMDSv2 diaktifkan. Untuk informasi selengkapnya, lihat Mengonfigurasi opsi metadata instans untuk instans baru di Panduan Pengguna Amazon EC2.
[AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1
penting
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol CSPM Security Hub.
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration
AWS Configaturan: autoscaling-launch-config-hop-limit
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa jumlah hop jaringan yang dapat ditempuh oleh token metadata. Kontrol gagal jika batas hop respons metadata lebih besar dari. 1
Layanan Metadata Instans (IMDS) menyediakan informasi metadata tentang instans Amazon EC2 dan berguna untuk konfigurasi aplikasi. Membatasi PUT respons HTTP untuk layanan metadata hanya untuk instans EC2 melindungi IMDS dari penggunaan yang tidak sah.
Bidang Time To Live (TTL) dalam paket IP dikurangi satu pada setiap hop. Pengurangan ini dapat digunakan untuk memastikan bahwa paket tidak bergerak di luar EC2. IMDSv2 melindungi instans EC2 yang mungkin salah dikonfigurasi sebagai router terbuka, firewall lapisan 3, VPN, terowongan, atau perangkat NAT, yang mencegah pengguna yang tidak sah mengambil metadata. Dengan ImDSv2, PUT respons yang berisi token rahasia tidak dapat berjalan di luar instance karena batas hop respons metadata default disetel ke. 1 Namun, jika nilai ini lebih besar dari1, token dapat meninggalkan instans EC2.
Remediasi
Untuk mengubah batas hop respons metadata untuk konfigurasi peluncuran yang ada, lihat Memodifikasi opsi metadata instans untuk instans yang ada di Panduan Pengguna Amazon EC2.
[Autoscaling.5] Instans Amazon EC2 yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik
Persyaratan terkait: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0. 1/1.4.4
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration
AWS Configaturan: autoscaling-launch-config-public-ip-disabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah konfigurasi peluncuran terkait grup Auto Scaling menetapkan alamat IP publik ke instans grup. Kontrol gagal jika konfigurasi peluncuran terkait menetapkan alamat IP publik.
Instans Amazon EC2 dalam konfigurasi peluncuran grup Auto Scaling tidak boleh memiliki alamat IP publik terkait, kecuali dalam kasus edge terbatas. Instans Amazon EC2 seharusnya hanya dapat diakses dari belakang penyeimbang beban alih-alih langsung terpapar ke internet.
Remediasi
Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru. Lalu, perbarui grup Auto Scaling Anda untuk menggunakan konfigurasi peluncuran baru. Untuk petunjuk langkah demi langkah, lihat Mengubah konfigurasi peluncuran untuk grup Auto Scaling di Panduan Pengguna Amazon EC2 Auto Scaling. Saat membuat konfigurasi peluncuran baru, di bawah Konfigurasi tambahan, untuk detail lanjutan, jenis alamat IP, pilih Jangan tetapkan alamat IP publik ke instance apa pun.
Setelah Anda mengubah konfigurasi peluncuran, Auto Scaling meluncurkan instance baru dengan opsi konfigurasi baru. Instance yang ada tidak terpengaruh. Untuk memperbarui instans yang ada, kami sarankan Anda menyegarkan instans Anda, atau mengizinkan penskalaan otomatis untuk secara bertahap mengganti instans lama dengan instans yang lebih baru berdasarkan kebijakan penghentian Anda. Untuk informasi selengkapnya tentang memperbarui instans Auto Scaling, lihat Memperbarui instans Auto Scaling di Panduan Pengguna Amazon EC2 Auto Scaling.
[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup
AWS Configaturan: autoscaling-multiple-instance-types
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling menggunakan beberapa jenis instans. Kontrol gagal jika grup Auto Scaling hanya memiliki satu jenis instance yang ditentukan.
Anda dapat meningkatkan ketersediaan dengan menerapkan aplikasi Anda di beberapa jenis instans yang berjalan di beberapa Availability Zone. Security Hub CSPM merekomendasikan penggunaan beberapa jenis instans sehingga grup Auto Scaling dapat meluncurkan jenis instans lain jika kapasitas instans tidak mencukupi di Availability Zone yang Anda pilih.
Remediasi
Untuk membuat grup Auto Scaling dengan beberapa jenis instans, lihat grup Auto Scaling dengan beberapa jenis instans dan opsi pembelian di Panduan Pengguna Amazon EC2 Auto Scaling.
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Kategori: Identifikasi > Konfigurasi Sumber Daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup
AWS Configaturan: autoscaling-launch-template
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling dibuat dari template peluncuran EC2. Kontrol ini gagal jika grup Penskalaan Otomatis Amazon EC2 tidak dibuat dengan templat peluncuran atau jika templat peluncuran tidak ditentukan dalam kebijakan instance campuran.
Grup EC2 Auto Scaling dapat dibuat dari templat peluncuran EC2 atau konfigurasi peluncuran. Namun, menggunakan template peluncuran untuk membuat grup Auto Scaling memastikan bahwa Anda memiliki akses ke fitur dan peningkatan terbaru.
Remediasi
Untuk membuat grup Auto Scaling dengan template peluncuran EC2, lihat Membuat grup Auto Scaling menggunakan template peluncuran di Panduan Pengguna Amazon EC2 Auto Scaling. Untuk informasi tentang cara mengganti konfigurasi peluncuran dengan templat peluncuran, lihat Mengganti konfigurasi peluncuran dengan templat peluncuran di Panduan Pengguna Amazon EC2.
[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup
AWS Configaturan: tagged-autoscaling-autoscalinggroup (aturan CSPM Security Hub kustom)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratanAWS. | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika grup Auto Scaling tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. requiredTagKeys Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup Auto Scaling tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orangLayanan AWS, termasukAWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke grup Auto Scaling, lihat Menandai grup dan instans Auto Scaling di Panduan Pengguna Amazon EC2 Auto Scaling.