Kontrol Security Hub untuk Amazon EFS - AWS Security Hub
[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS[EFS.2] EFS Volume Amazon harus ada dalam rencana cadangan[EFS.3] titik EFS akses harus menegakkan direktori root[EFS.4] titik EFS akses harus menegakkan identitas pengguna[EFS.5] titik EFS akses harus ditandai[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon EFS

Kontrol Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic File System (AmazonEFS).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-encrypted-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut.

Perhatikan bahwa kontrol ini tidak menggunakan KmsKeyId parameter untuk efs-encrypted-check. Itu hanya memeriksa nilaiEncrypted.

Untuk lapisan keamanan tambahan untuk data sensitif Anda di AmazonEFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem EFS file Amazon. Untuk mempelajari lebih lanjut tentang EFS enkripsi Amazon, lihat Enkripsi data di Amazon EFS di Panduan Pengguna Amazon Elastic File System.

Remediasi

Untuk detail tentang cara mengenkripsi sistem EFS file Amazon baru, lihat Mengenkripsi data saat istirahat di Panduan Pengguna Amazon Elastic File System.

[EFS.2] EFS Volume Amazon harus ada dalam rencana cadangan

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Kategori: Pulihkan > Ketahanan > Cadangan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-in-backup-plan

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (AmazonEFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem EFS file Amazon tidak termasuk dalam paket cadangan.

Menyertakan sistem EFS file dalam paket cadangan membantu Anda melindungi data Anda dari penghapusan dan kehilangan data.

Remediasi

Untuk mengaktifkan pencadangan otomatis untuk sistem EFS file Amazon yang ada, lihat Memulai 4: Membuat cadangan EFS otomatis Amazon di Panduan Pengembang.AWS Backup

[EFS.3] titik EFS akses harus menegakkan direktori root

Persyaratan terkait: NIST.800-53.r5 AC-6 (10)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: efs-access-point-enforce-root-directory

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik EFS akses Amazon dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai Path diatur ke / (direktori root default dari sistem file).

Saat Anda menerapkan direktori root, NFS klien yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.

Remediasi

Untuk petunjuk tentang cara menerapkan direktori root untuk EFS jalur akses Amazon, lihat Menerapkan direktori root dengan titik akses di Panduan Pengguna Amazon Elastic File System.

[EFS.4] titik EFS akses harus menegakkan identitas pengguna

Persyaratan terkait: NIST.800-53.r5 AC-6 (2)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: efs-access-point-enforce-user-identity

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik EFS akses Amazon dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas POSIX pengguna tidak ditentukan saat membuat titik EFS akses.

Titik EFS akses Amazon adalah titik masuk khusus aplikasi ke dalam sistem EFS file yang membuatnya lebih mudah untuk mengelola akses aplikasi ke kumpulan data bersama. Titik akses dapat menegakkan identitas pengguna, termasuk POSIX grup pengguna, untuk semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.

Remediasi

Untuk menerapkan identitas pengguna untuk EFS jalur akses Amazon, lihat Menerapkan identitas pengguna menggunakan titik akses di Panduan Pengguna Amazon Elastic File System.

[EFS.5] titik EFS akses harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EFS::AccessPoint

AWS Config aturan: tagged-efs-accesspoint (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah titik EFS akses Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang AWS layanan, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke titik EFS akses, lihat Menandai EFS sumber daya Amazon di Panduan Pengguna Amazon Elastic File System.

[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EFS::FileSystem

AWS Config aturan: efs-mount-target-public-accessible

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah target EFS pemasangan Amazon dikaitkan dengan subnet pribadi. Kontrol gagal jika target pemasangan dikaitkan dengan subnet publik.

Secara default, sistem file hanya dapat diakses dari virtual private cloud (VPC) tempat Anda membuatnya. Kami merekomendasikan untuk membuat target EFS mount di subnet pribadi yang tidak dapat diakses dari internet. Ini membantu memastikan bahwa sistem file Anda hanya dapat diakses oleh pengguna yang berwenang dan tidak rentan terhadap akses atau serangan yang tidak sah.

Remediasi

Anda tidak dapat mengubah hubungan antara target EFS mount dan subnet setelah membuat target mount. Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet pribadi dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat Membuat dan mengelola target mount dan grup keamanan di Panduan Pengguna Amazon Elastic File System.