Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon SNS
Ini AWS Security Hub kontrol mengevaluasi layanan dan sumber daya Amazon Simple Notification Service (AmazonSNS).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
penting
Security Hub menghentikan kontrol ini pada April 2024 dari AWS Standar Praktik Terbaik Keamanan Dasar v1.0.0, tetapi masih termasuk dalam standar NIST SP 800-53 Rev. 5. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SNS::Topic
AWS Config aturan: sns-encrypted-kms
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah SNS topik Amazon dienkripsi saat istirahat menggunakan kunci yang dikelola AWS Key Management Service (AWS KMS). Kontrol gagal jika SNS topik tidak menggunakan KMS kunci untuk enkripsi sisi server (). SSE Secara default, SNS menyimpan pesan dan file menggunakan enkripsi disk. Untuk melewati kontrol ini, Anda harus memilih untuk menggunakan KMS kunci untuk enkripsi sebagai gantinya. Ini menambahkan lapisan keamanan tambahan dan memberikan lebih banyak fleksibilitas kontrol akses.
Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi AWS. APIizin diperlukan untuk mendekripsi data sebelum dapat dibaca. Kami merekomendasikan mengenkripsi SNS topik dengan KMS kunci untuk lapisan keamanan tambahan.
Remediasi
SSEUntuk mengaktifkan SNS topik, lihat Mengaktifkan enkripsi sisi server () SSE untuk topik Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Sebelum Anda dapat menggunakanSSE, Anda juga harus mengkonfigurasi AWS KMS key kebijakan untuk memungkinkan enkripsi topik dan enkripsi dan dekripsi pesan. Untuk informasi selengkapnya, lihat Mengkonfigurasi AWS KMS izin di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
[SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik
penting
Security Hub menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.
Persyaratan terkait: NIST .800-53.r5 AU-12, .800-53.r5 AU-2 NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SNS::Topic
AWS Config aturan: sns-topic-message-delivery-notification-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah pencatatan diaktifkan untuk status pengiriman pesan notifikasi yang dikirim ke SNS topik Amazon untuk titik akhir. Kontrol ini gagal jika pemberitahuan status pengiriman pesan tidak diaktifkan.
Logging adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja layanan. Mencatat status pengiriman pesan membantu memberikan wawasan operasional, seperti berikut ini:
Mengetahui apakah pesan dikirim ke SNS titik akhir Amazon.
Mengidentifikasi respons yang dikirim dari SNS titik akhir Amazon ke AmazonSNS.
Menentukan waktu tinggal pesan (waktu antara stempel waktu publikasi dan penyerahan ke titik akhir AmazonSNS).
Remediasi
Untuk mengonfigurasi pencatatan status pengiriman untuk suatu topik, lihat Status pengiriman SNS pesan Amazon di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
[SNS.3] SNS topik harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::SNS::Topic
AWS Config aturan: tagged-sns-topic (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah SNS topik Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika topik tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika topik tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.
Remediasi
Untuk menambahkan tag ke SNS topik, lihat Mengonfigurasi tag SNS topik Amazon di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
