Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Lambda

AWS Security Hub Kontrol ini mengevaluasi AWS Lambda layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::Lambda::Function

AWS Config aturan: lambda-function-public-access-prohibited

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. AWS:SourceAccount Sebaiknya gunakan kondisi S3 lainnya beserta AWS:SourceAccount kebijakan bucket Anda untuk akses yang lebih disempurnakan.

Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.

Remediasi

Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. AWS:SourceAccount Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda atau. API AWS CLI

Untuk memulai, tinjau kebijakan berbasis sumber daya di konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai Principal bidang yang membuat kebijakan publik, seperti "*" atau{ "AWS": "*" }.

Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan remove-permissionperintah dari file. AWS CLI

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Ganti <function-name> dengan nama fungsi Lambda, dan <statement-id> dengan pernyataan ID (Sid) dari pernyataan yang ingin Anda hapus.

[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST

Kategori: Lindungi > Pengembangan aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Lambda::Function

AWS Config aturan: lambda-function-settings-check

Jenis jadwal: Perubahan dipicu

Parameter:

Kontrol ini memeriksa apakah setelan runtime AWS Lambda fungsi cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung, yang disebutkan sebelumnya di bagian Parameter. Security Hub mengabaikan fungsi yang memiliki tipe paket. Image

Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi tersebut masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. Untuk daftar runtime yang didukung, lihat runtime Lambda di AWS Lambda Panduan Pengembang.

Remediasi

Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian waktu proses di Panduan Pengembang.AWS Lambda Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan pembaruan runtime untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.

[Lambda.3] Fungsi Lambda harus dalam a VPC

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Lambda::Function

AWS Config aturan: lambda-inside-vpc

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah fungsi Lambda diterapkan di cloud pribadi virtual (). VPC Kontrol gagal jika fungsi Lambda tidak diterapkan di file. VPC Security Hub tidak mengevaluasi konfigurasi perutean VPC subnet untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.

Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan VPC penerapan untuk memenuhi beragam persyaratan aplikasi.

Remediasi

Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di AndaVPC, lihat Mengonfigurasi VPC akses di Panduan AWS Lambda Pengembang. Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.

[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Lambda::Function

AWS Config aturan: lambda-vpc-multi-az-check

Jenis jadwal: Perubahan dipicu

Parameter:

Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZs) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah yang ditentukanAZs. Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimumAZs, Security Hub menggunakan nilai default duaAZs.

Menyebarkan sumber daya di beberapa AZs adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke a VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.

Remediasi

Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke akun Anda, tentukan subnet dalam beberapa AZs untuk memastikan ketersediaan tinggi. VPC Untuk petunjuk, lihat Mengonfigurasi VPC akses di Panduan AWS Lambda Pengembang.

Lambda secara otomatis menjalankan fungsi lain dalam beberapa AZs untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.

[Lambda.6] Fungsi Lambda harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Lambda::Function

AWS Config aturan: tagged-lambda-function (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Kontrol ini memeriksa apakah suatu AWS Lambda fungsi memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika fungsi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika fungsi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

Remediasi

Untuk menambahkan tag ke fungsi Lambda, lihat Menggunakan tag pada fungsi Lambda di Panduan Pengembang.AWS Lambda