Kontrol Security Hub untuk AWS Backup - AWS Security Hub
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat[Cadangan.2] AWS Backup poin pemulihan harus ditandai[Cadangan.3] AWS Backup brankas harus ditandai[Cadangan.4] AWS Backup rencana laporan harus diberi tag[Cadangan.5] AWS Backup rencana cadangan harus ditandai

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk AWS Backup

Kontrol Security Hub ini mengevaluasi AWS Backup layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat

Persyaratan terkait: NIST .800-53.r5 CP-9 (8), .800-53.r5 SI-12 NIST

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Backup::RecoveryPoint

AWS Config aturan: backup-recovery-point-encrypted

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS Backup titik pemulihan dienkripsi saat istirahat. Kontrol gagal jika titik pemulihan tidak dienkripsi saat istirahat.

Sesi AWS Backup titik pemulihan mengacu pada salinan atau snapshot data tertentu yang dibuat sebagai bagian dari proses pencadangan. Ini merupakan momen tertentu ketika data dicadangkan dan berfungsi sebagai titik pemulihan jika data asli hilang, rusak, atau tidak dapat diakses. Mengenkripsi titik pemulihan cadangan menambahkan lapisan perlindungan ekstra terhadap akses yang tidak sah. Enkripsi adalah praktik terbaik untuk melindungi kerahasiaan, integritas, dan keamanan data cadangan.

Remediasi

Untuk mengenkripsi AWS Backup titik pemulihan, lihat Enkripsi untuk cadangan di AWS Backupdi AWS Backup Panduan Pengembang.

[Cadangan.2] AWS Backup poin pemulihan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::RecoveryPoint

AWS Config aturan: tagged-backup-recoverypoint (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Backup titik pemulihan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke AWS Backup titik pemulihan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Rencana cadangan.

  3. Pilih paket cadangan dari daftar.

  4. Di bagian Tag paket Backup, pilih Kelola tag.

  5. Masukkan kunci dan nilai untuk tanda tersebut. Pilih Tambahkan tag baru untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Cadangan.3] AWS Backup brankas harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::BackupVault

AWS Config aturan: tagged-backup-backupvault (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Backup vault memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke AWS Backup kubah

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Masukkan kunci dan nilai untuk tanda tersebut. Pilih Tambahkan tag baru untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Cadangan.4] AWS Backup rencana laporan harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::ReportPlan

AWS Config aturan: tagged-backup-reportplan (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Backup rencana laporan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika rencana laporan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rencana laporan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke AWS Backup rencana laporan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Pilih Tambahkan tag baru. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.

[Cadangan.5] AWS Backup rencana cadangan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Backup::BackupPlan

AWS Config aturan: tagged-backup-backupplan (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Backup rencana cadangan memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika paket cadangan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika paket cadangan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke AWS Backup rencana cadangan

  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Di panel navigasi, pilih Brankas cadangan.

  3. Pilih brankas cadangan dari daftar.

  4. Di bagian Backup vault tags, pilih Kelola tag.

  5. Pilih Tambahkan tag baru. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

  6. Setelah Anda selesai menambahkan tanda, pilih Simpan.