Kontrol Security Hub untuk Amazon EFS - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon EFS

Kontrol Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic File System (Amazon EFS).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-encrypted-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus-kasus berikut.

Perhatikan bahwa kontrol ini tidak menggunakan KmsKeyId parameter untuk efs-encrypted-check. Itu hanya memeriksa nilaiEncrypted.

Untuk lapisan keamanan tambahan untuk data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat Enkripsi data di Amazon EFS di Panduan Pengguna Amazon Elastic File System.

Remediasi

Untuk detail tentang cara mengenkripsi sistem file Amazon EFS baru, lihat Mengenkripsi data saat istirahat di Panduan Pengguna Amazon Elastic File System.

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Cadangan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-in-backup-plan

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam paket cadangan.

Menyertakan sistem file EFS dalam paket cadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.

Remediasi

Untuk mengaktifkan pencadangan otomatis untuk sistem file Amazon EFS yang ada, lihat Memulai 4: Membuat cadangan otomatis Amazon EFS di Panduan Pengembang.AWS Backup

[EFS.3] Titik akses EFS harus menegakkan direktori root

Persyaratan terkait: NIST.800-53.r5 AC-6 (10)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: efs-access-point-enforce-root-directory

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai Path diatur ke / (direktori root default dari sistem file).

Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.

Remediasi

Untuk petunjuk tentang cara menerapkan direktori root untuk jalur akses Amazon EFS, lihat Menerapkan direktori root dengan titik akses di Panduan Pengguna Amazon Elastic File System.

[EFS.4] Titik akses EFS harus menegakkan identitas pengguna

Persyaratan terkait: NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: efs-access-point-enforce-user-identity

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas pengguna POSIX tidak ditentukan saat membuat titik akses EFS.

Titik akses Amazon EFS adalah titik masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.

Remediasi

Untuk menerapkan identitas pengguna untuk jalur akses Amazon EFS, lihat Menerapkan identitas pengguna menggunakan titik akses di Panduan Pengguna Amazon Elastic File System.

[EFS.5] Titik akses EFS harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: tagged-efs-accesspoint (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah titik akses Amazon EFS memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke titik akses EFS, lihat Menandai resource Amazon EFS di Panduan Pengguna Amazon Elastic File System.

[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-mount-target-public-accessible

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah target pemasangan Amazon EFS dikaitkan dengan subnet pribadi. Kontrol gagal jika target pemasangan dikaitkan dengan subnet publik.

Secara default, sistem file hanya dapat diakses dari virtual private cloud (VPC) tempat Anda membuatnya. Sebaiknya buat target pemasangan EFS di subnet pribadi yang tidak dapat diakses dari internet. Ini membantu memastikan bahwa sistem file Anda hanya dapat diakses oleh pengguna yang berwenang dan tidak rentan terhadap akses atau serangan yang tidak sah.

Remediasi

Anda tidak dapat mengubah asosiasi antara target pemasangan EFS dan subnet setelah membuat target pemasangan. Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet pribadi dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat Membuat dan mengelola target mount dan grup keamanan di Panduan Pengguna Amazon Elastic File System.

[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis

Kategori: Pulih> Ketahanan > Cadangan diaktifkan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-automatic-backups-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengaktifkan pencadangan otomatis. Kontrol ini gagal jika sistem file EFS tidak mengaktifkan pencadangan otomatis.

Cadangan data adalah salinan sistem, konfigurasi, atau data aplikasi Anda yang disimpan secara terpisah dari aslinya. Mengaktifkan pencadangan reguler membantu Anda melindungi data berharga dari peristiwa tak terduga seperti kegagalan sistem, serangan siber, atau penghapusan yang tidak disengaja. Memiliki strategi cadangan yang kuat juga memfasilitasi pemulihan yang lebih cepat, kelangsungan bisnis, dan ketenangan pikiran dalam menghadapi potensi kehilangan data.

Remediasi

Untuk informasi tentang penggunaan AWS Backup untuk sistem file EFS, lihat Mencadangkan sistem file EFS di Panduan Pengguna Amazon Elastic File System

[EFS.8] Sistem file EFS harus dienkripsi saat istirahat

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-filesystem-ct-encrypted

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengenkripsi data dengan AWS Key Management Service ()AWS KMS. Kontrol gagal jika sistem file tidak dienkripsi.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

Remediasi

Untuk mengaktifkan enkripsi saat istirahat untuk sistem file EFS baru, lihat Mengenkripsi data saat istirahat di Panduan Pengguna Amazon Elastic File System.