Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon EFS
Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic File System (Amazon EFS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::FileSystem`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut.
+ `Encrypted`diatur ke `false` dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons.
+ `KmsKeyId`Kunci dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons tidak cocok dengan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Perhatikan bahwa kontrol ini tidak menggunakan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Itu hanya memeriksa nilai`Encrypted`.
Untuk lapisan keamanan tambahan untuk data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat [Enkripsi data di Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) di *Panduan Pengguna Amazon Elastic File System*.
### Remediasi
Untuk detail tentang cara mengenkripsi sistem file Amazon EFS baru, lihat [Mengenkripsi data saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Amazon Elastic File System*.
## [EFS.2] Volume Amazon EFS harus dalam rencana cadangan
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Cadangan
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::FileSystem`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam paket cadangan.
Menyertakan sistem file EFS dalam paket cadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.
### Remediasi
*Untuk mengaktifkan pencadangan otomatis untuk sistem file Amazon EFS yang ada, lihat [Memulai 4: Membuat cadangan otomatis Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) di Panduan Pengembang.AWS Backup *
## [EFS.3] Titik akses EFS harus menegakkan direktori root
**Persyaratan terkait:** NIST.800-53.r5 AC-6 (10)
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::AccessPoint`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai `Path` diatur ke `/` (direktori root default dari sistem file).
Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.
### Remediasi
Untuk petunjuk tentang cara menerapkan direktori root untuk jalur akses Amazon EFS, lihat [Menerapkan direktori root dengan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) di *Panduan Pengguna Amazon Elastic File System*.
## [EFS.4] Titik akses EFS harus menegakkan identitas pengguna
**Persyaratan terkait:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::AccessPoint`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas pengguna POSIX tidak ditentukan saat membuat titik akses EFS.
Titik akses Amazon EFS adalah titik masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.
### Remediasi
Untuk menerapkan identitas pengguna untuk jalur akses Amazon EFS, lihat [Menerapkan identitas pengguna menggunakan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) di Panduan *Pengguna Amazon Elastic File System*.
## [EFS.5] Titik akses EFS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::EFS::AccessPoint`
**AWS Config aturan:** `tagged-efs-accesspoint` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah titik akses Amazon EFS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke titik akses EFS, lihat [Menandai resource Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) di *Panduan Pengguna Amazon Elastic File System*.
## [EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan
**Kategori:** Lindungi > Keamanan jaringan > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::FileSystem`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah target pemasangan Amazon EFS dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan. Kontrol gagal jika target pemasangan dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan.
Subnet memiliki atribut yang menentukan apakah antarmuka jaringan secara otomatis menerima publik IPv4 dan IPv6 alamat. Untuk IPv4, atribut ini disetel ke `TRUE` untuk subnet default dan `FALSE` untuk subnet nondefault (dengan pengecualian untuk subnet nondefault yang dibuat melalui wizard instans peluncuran EC2, yang disetel ke). `TRUE` Untuk IPv6, atribut ini diatur ke `FALSE` untuk semua subnet secara default. Ketika atribut ini diaktifkan, instance yang diluncurkan di subnet secara otomatis menerima alamat IP yang sesuai (IPv4 atau IPv6) pada antarmuka jaringan utama mereka. Target pemasangan Amazon EFS yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
### Remediasi
Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet yang tidak menetapkan alamat IP publik saat peluncuran dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat [Membuat dan mengelola target mount dan grup keamanan](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) di *Panduan Pengguna Amazon Elastic File System*.
## [EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::FileSystem`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah sistem file Amazon EFS mengaktifkan pencadangan otomatis. Kontrol ini gagal jika sistem file EFS tidak mengaktifkan pencadangan otomatis.
Cadangan data adalah salinan sistem, konfigurasi, atau data aplikasi Anda yang disimpan secara terpisah dari aslinya. Mengaktifkan pencadangan reguler membantu Anda melindungi data berharga dari peristiwa tak terduga seperti kegagalan sistem, serangan siber, atau penghapusan yang tidak disengaja. Memiliki strategi cadangan yang kuat juga memfasilitasi pemulihan yang lebih cepat, kelangsungan bisnis, dan ketenangan pikiran dalam menghadapi potensi kehilangan data.
### Remediasi
Untuk informasi tentang penggunaan AWS Backup untuk sistem file EFS, lihat [Mencadangkan sistem file EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) di *Panduan Pengguna Amazon Elastic File System*.
## [EFS.8] Sistem file EFS harus dienkripsi saat istirahat
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EFS::FileSystem`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah sistem file Amazon EFS mengenkripsi data dengan AWS Key Management Service ()AWS KMS. Kontrol gagal jika sistem file tidak dienkripsi.
Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.
### Remediasi
Untuk mengaktifkan enkripsi saat istirahat untuk sistem file EFS baru, lihat [Mengenkripsi data saat istirahat di](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Panduan Pengguna Amazon Elastic File System*.