Kontrol Security Hub untuk AWS Backup - AWS Security Hub
[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat[Backup.2] poin AWS Backup pemulihan harus ditandai[Backup.3] AWS Backup brankas harus ditandai[Backup.4] rencana AWS Backup laporan harus ditandai[Backup.5] rencana AWS Backup cadangan harus ditandai

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk AWS Backup

Kontrol Security Hub ini mengevaluasi AWS Backup layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

Persyaratan terkait: NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Backup::RecoveryPoint

AWS Config aturan: backup-recovery-point-encrypted

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik AWS Backup pemulihan dienkripsi saat istirahat. Kontrol gagal jika titik pemulihan tidak dienkripsi saat istirahat.

Titik AWS Backup pemulihan mengacu pada salinan atau snapshot data tertentu yang dibuat sebagai bagian dari proses pencadangan. Ini merupakan momen tertentu dalam waktu ketika data dicadangkan dan berfungsi sebagai titik pemulihan jika data asli hilang, rusak, atau tidak dapat diakses. Mengenkripsi titik pemulihan cadangan menambahkan lapisan perlindungan ekstra terhadap akses yang tidak sah. Enkripsi adalah praktik terbaik untuk melindungi kerahasiaan, integritas, dan keamanan data cadangan.

Remediasi

Untuk mengenkripsi titik AWS Backup pemulihan, lihat Enkripsi untuk cadangan AWS Backup di Panduan Pengembang.AWS Backup

[Backup.2] poin AWS Backup pemulihan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::RecoveryPoint

AWS Config aturan: tagged-backup-recoverypoint (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah titik AWS Backup pemulihan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke titik AWS Backup pemulihan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Rencana cadangan.

  3. Pilih paket cadangan dari daftar.

  4. Di bagian Tag paket Backup, pilih Kelola tag.

  5. Masukkan kunci dan nilai untuk tanda tersebut. Pilih Tambahkan tag baru untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Backup.3] AWS Backup brankas harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::BackupVault

AWS Config aturan: tagged-backup-backupvault (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Backup vault memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke AWS Backup brankas

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Masukkan kunci dan nilai untuk tanda tersebut. Pilih Tambahkan tag baru untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Backup.4] rencana AWS Backup laporan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::ReportPlan

AWS Config aturan: tagged-backup-reportplan (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah rencana AWS Backup laporan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika rencana laporan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rencana laporan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke rencana AWS Backup laporan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Pilih Tambahkan tag baru. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Backup.5] rencana AWS Backup cadangan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::BackupPlan

AWS Config aturan: tagged-backup-backupplan (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah rencana AWS Backup cadangan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika paket cadangan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika paket cadangan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke rencana AWS Backup cadangan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Pilih Tambahkan tag baru. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.