Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Lambda
AWS Security Hub Kontrol ini mengevaluasi AWS Lambda layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-function-public-access-prohibited
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. AWS:SourceAccount
Sebaiknya gunakan kondisi S3 lainnya beserta AWS:SourceAccount
kebijakan bucket Anda untuk akses yang lebih disempurnakan.
Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.
Remediasi
Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. AWS:SourceAccount
Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda atau. API AWS CLI
Untuk memulai, tinjau kebijakan berbasis sumber daya di konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai Principal
bidang yang membuat kebijakan publik, seperti "*"
atau{ "AWS": "*" }
.
Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan remove-permission
perintah dari file. AWS CLI
$ aws lambda remove-permission --function-name
<function-name>
--statement-id<statement-id>
Ganti
dengan nama fungsi Lambda, dan <function-name>
dengan pernyataan ID (<statement-id>
Sid
) dari pernyataan yang ingin Anda hapus.
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Kategori: Lindungi > Pengembangan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-function-settings-check
Jenis jadwal: Perubahan dipicu
Parameter:
-
runtime
:dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs20.x, nodejs18.x, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah setelan runtime AWS Lambda fungsi cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung, yang disebutkan sebelumnya di bagian Parameter. Security Hub mengabaikan fungsi yang memiliki tipe paket. Image
Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi tersebut masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. Untuk daftar runtime yang didukung, lihat runtime Lambda di AWS Lambda Panduan Pengembang.
Remediasi
Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian waktu proses di Panduan Pengembang.AWS Lambda Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan pembaruan runtime untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.
[Lambda.3] Fungsi Lambda harus dalam a VPC
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-inside-vpc
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah fungsi Lambda diterapkan di cloud pribadi virtual (). VPC Kontrol gagal jika fungsi Lambda tidak diterapkan di file. VPC Security Hub tidak mengevaluasi konfigurasi perutean VPC subnet untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.
Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan VPC penerapan untuk memenuhi beragam persyaratan aplikasi.
Remediasi
Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di AndaVPC, lihat Mengonfigurasi VPC akses di Panduan AWS Lambda Pengembang. Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-vpc-multi-az-check
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
|
Jumlah minimum Availability Zone |
Enum |
|
|
Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZs) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah yang ditentukanAZs. Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimumAZs, Security Hub menggunakan nilai default duaAZs.
Menyebarkan sumber daya di beberapa AZs adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke a VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.
Remediasi
Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke akun Anda, tentukan subnet dalam beberapa AZs untuk memastikan ketersediaan tinggi. VPC Untuk petunjuk, lihat Mengonfigurasi VPC akses di Panduan AWS Lambda Pengembang.
Lambda secara otomatis menjalankan fungsi lain dalam beberapa AZs untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.
[Lambda.6] Fungsi Lambda harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: tagged-lambda-function
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah suatu AWS Lambda fungsi memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys
. Kontrol gagal jika fungsi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika fungsi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke fungsi Lambda, lihat Menggunakan tag pada fungsi Lambda di Panduan Pengembang.AWS Lambda