Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk CloudFront
Kontrol Security Hub ini mengevaluasi CloudFront layanan dan sumber daya Amazon.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
Persyaratan terkait: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16)
Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-default-root-object-configured
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk mengembalikan objek tertentu yang merupakan objek root default. Kontrol gagal jika CloudFront distribusi tidak memiliki objek root default yang dikonfigurasi.
Pengguna terkadang meminta root distribusi URL alih-alih objek dalam distribusi. Ketika ini terjadi, menentukan objek root default dapat membantu Anda menghindari mengekspos konten distribusi web Anda.
Remediasi
Untuk mengonfigurasi objek root default untuk CloudFront distribusi, lihat Cara menentukan objek root default di Panduan CloudFront Pengembang Amazon.
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-viewer-policy-https
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengharuskan pemirsa untuk menggunakannya HTTPS secara langsung atau menggunakan pengalihan. Kontrol gagal jika ViewerProtocolPolicy disetel ke allow-all untuk defaultCacheBehavior atau untukcacheBehaviors.
HTTPS(TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampaknyaTLS.
Remediasi
Untuk mengenkripsi CloudFront distribusi saat transit, lihat Memerlukan HTTPS komunikasi antara pemirsa dan CloudFront di Panduan CloudFront Pengembang Amazon.
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-origin-failover-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi dengan grup asal yang memiliki dua atau lebih asal.
CloudFront origin failover dapat meningkatkan ketersediaan. Origin failover secara otomatis mengalihkan lalu lintas ke asal sekunder jika asal primer tidak tersedia atau jika mengembalikan kode status respons tertentuHTTP.
Remediasi
Untuk mengonfigurasi failover asal untuk CloudFront distribusi, lihat Membuat grup asal di Panduan CloudFront Pengembang Amazon.
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-accesslogs-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah pencatatan akses server diaktifkan pada CloudFront distribusi. Kontrol gagal jika pencatatan akses tidak diaktifkan untuk distribusi.
CloudFront log akses memberikan informasi rinci tentang setiap permintaan pengguna yang CloudFront menerima. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil.
Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Untuk panduan tambahan tentang cara menganalisis log akses, lihat Menanyakan CloudFront log Amazon di Panduan Pengguna Amazon Athena.
Remediasi
Untuk mengonfigurasi pencatatan akses untuk CloudFront distribusi, lihat Mengonfigurasi dan menggunakan log standar (log akses) di Panduan CloudFront Pengembang Amazon.
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
Persyaratan terkait: NIST.800-53.r5 AC-4 (21)
Kategori: Lindungi > Layanan pelindung
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-associated-with-waf
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi terkait dengan salah satu AWS WAF Klasik atau AWS WAF webACLs. Kontrol gagal jika distribusi tidak terkait dengan webACL.
AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (webACL), yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan CloudFront distribusi Anda terkait dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya.
Remediasi
Untuk mengasosiasikan AWS WAF web ACL dengan CloudFront distribusi, lihat Menggunakan AWS WAF untuk mengontrol akses ke konten Anda di Panduan CloudFront Pengembang Amazon.
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-custom-ssl-certificate
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi menggunakan SSL TLS standar/sertifikat yang CloudFront disediakan. Kontrol ini lolos jika CloudFront distribusi menggunakan SSL TLS kustom/sertifikat. Kontrol ini gagal jika CloudFront distribusi menggunakan SSL TLS standar/sertifikat.
SSLTLSKustom/memungkinkan pengguna Anda untuk mengakses konten dengan menggunakan nama domain alternatif. Anda dapat menyimpan sertifikat khusus di AWS Certificate Manager (disarankan), atau diIAM.
Remediasi
Untuk menambahkan nama domain alternatif untuk CloudFront distribusi menggunakan TLS sertifikatSSL/kustom, lihat Menambahkan nama domain alternatif di Panduan CloudFront Pengembang Amazon.
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-sni-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan SSL TLS kustom/sertifikat dan dikonfigurasi untuk digunakan SNI untuk melayani HTTPS permintaan. Kontrol ini gagal jika SSL TLS kustom/sertifikat dikaitkan tetapi metodeSSL/TLSsupport adalah alamat IP khusus.
Server Name SNI Indication () adalah ekstensi ke TLS protokol yang didukung oleh browser dan klien yang dirilis setelah 2010. Jika Anda mengonfigurasi CloudFront untuk melayani HTTPS permintaan menggunakanSNI, CloudFront kaitkan nama domain alternatif Anda dengan alamat IP untuk setiap lokasi tepi. Saat penampil mengirimkan HTTPS permintaan untuk konten Anda, DNS rutekan permintaan ke alamat IP untuk lokasi tepi yang benar. Alamat IP ke nama domain Anda ditentukan selama SSL TLS negosiasi/jabat tangan; alamat IP tidak didedikasikan untuk distribusi Anda.
Remediasi
Untuk mengonfigurasi CloudFront distribusi yang akan digunakan SNI untuk melayani HTTPS permintaan, lihat Menggunakan SNI untuk Melayani HTTPS Permintaan (berfungsi untuk Sebagian Besar Klien) di Panduan CloudFront Pengembang. Untuk informasi tentang SSL sertifikat kustom, lihat Persyaratan untuk menggunakanSSL/TLSsertifikat dengan CloudFront.
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-traffic-to-origin-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengenkripsi lalu lintas ke asal kustom. Kontrol ini gagal untuk CloudFront distribusi yang kebijakan protokol asalnya memungkinkan 'hanya http'. Kontrol ini juga gagal jika kebijakan protokol asal distribusi adalah 'penampil pencocokan' sedangkan kebijakan protokol penampil adalah 'izinkan semua'.
HTTPS(TLS) dapat digunakan untuk membantu mencegah penyadapan atau manipulasi lalu lintas jaringan. Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan.
Remediasi
Untuk memperbarui Kebijakan Protokol Asal agar memerlukan enkripsi untuk CloudFront sambungan, lihat Memerlukan HTTPS komunikasi antara CloudFront dan asal kustom Anda di Panduan CloudFront Pengembang Amazon.
[CloudFront.10] CloudFront distribusi tidak boleh menggunakan SSL protokol usang antara lokasi tepi dan asal khusus
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-7 (4),, (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-no-deprecated-ssl-protocols
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan SSL protokol usang untuk HTTPS komunikasi antara lokasi CloudFront tepi dan asal kustom Anda. Kontrol ini gagal jika CloudFront distribusi memiliki CustomOriginConfig where OriginSslProtocols includeSSLv3.
Pada tahun 2015, Internet Engineering Task Force (IETF) secara resmi mengumumkan bahwa SSL 3.0 harus dihentikan karena protokol tidak cukup aman. Disarankan agar Anda menggunakan TLSv1 .2 atau yang lebih baru untuk HTTPS komunikasi ke asal kustom Anda.
Remediasi
Untuk memperbarui SSL Protokol Asal untuk CloudFront distribusi, lihat Memerlukan HTTPS komunikasi antara CloudFront dan asal kustom Anda di Panduan CloudFront Pengembang Amazon.
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
Persyaratan terkait: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategori: Identifikasi > Konfigurasi sumber daya
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-s3-origin-non-existent-bucket
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon menunjuk ke asal Amazon S3 yang tidak ada. Kontrol gagal untuk CloudFront distribusi jika asal dikonfigurasi untuk menunjuk ke bucket yang tidak ada. Kontrol ini hanya berlaku untuk CloudFront distribusi di mana bucket S3 tanpa hosting situs web statis adalah asal S3.
Ketika CloudFront distribusi di akun Anda dikonfigurasi untuk menunjuk ke bucket yang tidak ada, pihak ketiga yang jahat dapat membuat bucket yang direferensikan dan menyajikan konten mereka sendiri melalui distribusi Anda. Sebaiknya periksa semua asal terlepas dari perilaku perutean untuk memastikan bahwa distribusi Anda mengarah ke asal yang sesuai.
Remediasi
Untuk mengubah CloudFront distribusi agar mengarah ke asal baru, lihat Memperbarui distribusi di Panduan CloudFront Pengembang Amazon.
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: cloudfront-s3-origin-access-control-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan asal Amazon S3 memiliki kontrol akses asal (OAC) yang dikonfigurasi. Kontrol gagal jika OAC tidak dikonfigurasi untuk CloudFront distribusi.
Saat menggunakan bucket S3 sebagai asal untuk CloudFront distribusi Anda, Anda dapat mengaktifkannyaOAC. Ini memungkinkan akses ke konten dalam bucket hanya melalui CloudFront distribusi yang ditentukan, dan melarang akses langsung dari bucket atau distribusi lain. Meskipun CloudFront mendukung Origin Access Identity (OAI), OAC menawarkan fungsionalitas tambahan, dan distribusi yang menggunakan OAI dapat bermigrasi ke. OAC Meskipun OAI menyediakan cara aman untuk mengakses asal S3, ia memiliki keterbatasan, seperti kurangnya dukungan untuk konfigurasi kebijakan granular dan HTTP HTTPS untuk/permintaan yang menggunakan metode di POST Wilayah AWS yang membutuhkan AWS Tanda Tangan Versi 4 (SiGv4). OAIjuga tidak mendukung enkripsi dengan AWS Key Management Service. OACdidasarkan pada AWS praktik terbaik menggunakan prinsip IAM layanan untuk mengautentikasi dengan asal S3.
Remediasi
OACUntuk mengonfigurasi CloudFront distribusi dengan asal S3, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang Amazon CloudFront .
[CloudFront.14] CloudFront distribusi harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudFront::Distribution
AWS Config aturan: tagged-cloudfront-distribution (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah CloudFront distribusi Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika distribusi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika distribusi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.
Remediasi
Untuk menambahkan tag ke CloudFront distribusi, lihat Menandai CloudFront distribusi Amazon di Panduan CloudFront Pengembang Amazon.
