Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Route 53

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Route 53.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Route53::HealthCheck

AWS Config aturan: tagged-route53-healthcheck (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Kontrol ini memeriksa apakah pemeriksaan kesehatan Amazon Route 53 memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika pemeriksaan kesehatan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pemeriksaan kesehatan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

Remediasi

Untuk menambahkan tag ke pemeriksaan kesehatan Route 53, lihat Penamaan dan penandaan pemeriksaan kesehatan di Panduan Pengembang Amazon Route 53.

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 NIST PCI DSS

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Route53::HostedZone

AWS Config aturan: route53-query-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah pencatatan DNS kueri diaktifkan untuk zona host publik Amazon Route 53. Kontrol gagal jika pencatatan DNS kueri tidak diaktifkan untuk zona host publik Route 53.

DNSKueri logging untuk zona yang dihosting Route 53 memenuhi persyaratan DNS keamanan dan kepatuhan serta memberikan visibilitas. Log mencakup informasi seperti domain atau subdomain yang ditanyakan, tanggal dan waktu kueri, jenis DNS catatan (misalnya, A atauAAAA), dan kode DNS respons (misalnya, NoError atauServFail). Saat pencatatan DNS kueri diaktifkan, Route 53 menerbitkan file log ke Amazon CloudWatch Logs.

Remediasi

Untuk mencatat DNS kueri untuk zona yang dihosting publik Route 53, lihat Mengonfigurasi pencatatan untuk DNS kueri di Panduan Pengembang Amazon Route 53.