Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Kinesis
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Kinesis.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Kinesis::Stream
AWS Config aturan: kinesis-stream-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah Kinesis Data Streams dienkripsi saat istirahat dengan enkripsi sisi server. Kontrol ini gagal jika aliran Kinesis tidak dienkripsi saat istirahat dengan enkripsi sisi server.
Enkripsi sisi server adalah fitur di Amazon Kinesis Data Streams yang secara otomatis mengenkripsi data sebelum diam dengan menggunakan file. AWS KMS key Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda dienkripsi saat istirahat dalam layanan Amazon Kinesis Data Streams.
Remediasi
Untuk informasi tentang mengaktifkan enkripsi sisi server untuk aliran Kinesis, lihat Bagaimana cara memulai enkripsi sisi server? di Panduan Pengembang Amazon Kinesis.
[Kinesis.2] Aliran kinesis harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Kinesis::Stream
AWS Config aturan: tagged-kinesis-stream (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika aliran data tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aliran data tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke aliran data Kinesis, lihat Menandai aliran Anda di Amazon Kinesis Data Streams di Panduan Pengembang Amazon Kinesis.
[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Kinesis::Stream
AWS Config aturan: kinesis-stream-backup-retention-check
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
Jumlah jam minimum data harus disimpan. | String | 24 hingga 8760 | 168 |
Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki periode retensi data yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi data kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan data, Security Hub menggunakan nilai default 168 jam.
Dalam Kinesis Data Streams, aliran data adalah urutan urutan catatan data yang dimaksudkan untuk ditulis dan dibaca secara real time. Catatan data disimpan dalam pecahan di aliran Anda untuk sementara. Periode waktu dari saat catatan ditambahkan ke saat tidak lagi dapat diakses disebut periode retensi. Kinesis Data Streams segera membuat catatan yang lebih tua dari periode retensi baru tidak dapat diakses setelah mengurangi periode retensi. Misalnya, mengubah periode retensi dari 24 jam menjadi 48 jam berarti rekaman yang ditambahkan ke aliran 23 jam 55 menit sebelumnya masih tersedia setelah 24 jam.
Remediasi
Untuk mengubah periode retensi cadangan untuk Kinesis Data Streams, lihat Mengubah periode retensi data di Panduan Pengembang Amazon Kinesis Data Streams.
