Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk AWS Lambda
AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Lambda layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Kritis
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. `AWS:SourceAccount` Sebaiknya gunakan kondisi S3 lainnya beserta `AWS:SourceAccount` kebijakan bucket Anda untuk akses yang lebih disempurnakan.
**catatan**
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan untuk fungsi Lambda hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.
Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.
### Remediasi
Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. `AWS:SourceAccount` Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda API atau. AWS CLI
Untuk memulai, [tinjau kebijakan berbasis sumber daya di](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai `Principal` bidang yang membuat kebijakan publik, seperti `"*"` atau`{ "AWS": "*" }`.
Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)perintah dari file. AWS CLI
```
$ aws lambda remove-permission --function-name --statement-id
```
Ganti `` dengan nama fungsi Lambda, dan `` dengan pernyataan ID (`Sid`) dari pernyataan yang ingin Anda hapus.
## [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Kategori:** Lindungi > Pengembangan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah setelan runtime AWS Lambda fungsi cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung, seperti yang tercantum di bagian Parameter. Security Hub CSPM mengabaikan fungsi yang memiliki tipe paket. `Image`
Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi tersebut masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan bahwa fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. *Untuk daftar runtime yang didukung, lihat runtime [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) di AWS Lambda Panduan Pengembang.*
### Remediasi
*Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian [waktu proses di Panduan Pengembang](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html).AWS Lambda * Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan [pembaruan runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.
## [Lambda.3] Fungsi Lambda harus dalam VPC
**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah fungsi Lambda digunakan di cloud pribadi virtual (VPC). Kontrol gagal jika fungsi Lambda tidak diterapkan di VPC. Security Hub CSPM tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.
Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan penerapan VPC untuk memenuhi beragam persyaratan aplikasi.
### Remediasi
*Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di VPC Anda, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan Pengembang.AWS Lambda * Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.
## [Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Jumlah minimum Availability Zone | Enum | `2, 3, 4, 5, 6` | `2` |
Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZs) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah yang ditentukan AZs. Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs
Menyebarkan sumber daya di beberapa AZs adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.
### Remediasi
Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke VPC di akun Anda, tentukan subnet dalam beberapa AZs untuk memastikan ketersediaan tinggi. Untuk petunjuk, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan *AWS Lambda Pengembang.*
Lambda secara otomatis menjalankan fungsi lain dalam beberapa AZs untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.
## [Lambda.6] Fungsi Lambda harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan:** `tagged-lambda-function` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah suatu AWS Lambda fungsi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika fungsi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika fungsi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
*Untuk menambahkan tag ke fungsi Lambda, lihat [Menggunakan tag pada fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) di Panduan Pengembang.AWS Lambda *
## [Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray
**Persyaratan terkait:** NIST.800-53.r5 CA-7
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Lambda::Function`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah penelusuran aktif dengan AWS X-Ray diaktifkan untuk suatu AWS Lambda fungsi. Kontrol gagal jika penelusuran aktif dengan X-Ray dinonaktifkan untuk fungsi Lambda.
AWS X-Ray dapat memberikan kemampuan penelusuran dan pemantauan untuk AWS Lambda fungsi, yang dapat menghemat waktu dan tenaga debugging dan pengoperasian fungsi Lambda. Ini dapat membantu Anda mendiagnosis kesalahan dan mengidentifikasi kemacetan kinerja, perlambatan, dan batas waktu dengan memecah latensi untuk fungsi Lambda. Ini juga dapat membantu dengan privasi data dan persyaratan kepatuhan. Jika Anda mengaktifkan penelusuran aktif untuk fungsi Lambda, X-Ray memberikan tampilan holistik aliran dan pemrosesan data dalam fungsi Lambda, yang dapat membantu Anda mengidentifikasi potensi kerentanan keamanan atau praktik penanganan data yang tidak sesuai. Visibilitas ini dapat membantu Anda menjaga integritas data, kerahasiaan, dan kepatuhan terhadap peraturan yang relevan.
**catatan**
AWS X-Ray penelusuran saat ini tidak didukung untuk fungsi Lambda dengan Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka yang dikelola sendiri, Amazon MQ dengan ActiveMQ dan RabbitMQ, atau pemetaan sumber acara Amazon DocumentDB.
### Remediasi
*Untuk informasi tentang mengaktifkan penelusuran aktif untuk suatu AWS Lambda fungsi, lihat [Memvisualisasikan pemanggilan AWS X-Ray fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) menggunakan dalam Panduan Pengembang.AWS Lambda *