Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Transfer Family
AWS Security Hub Kontrol ini mengevaluasi AWS Transfer Family layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Transfer.1] AWS Transfer Family alur kerja harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Transfer::Workflow
AWS Config aturan: tagged-transfer-workflow
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah AWS Transfer Family alur kerja memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys
. Kontrol gagal jika alur kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke alur kerja Transfer Family (konsol)
Buka AWS Transfer Family konsol.
Pada panel navigasi, pilih Alur kerja. Kemudian, pilih alur kerja yang ingin Anda tag.
Pilih Kelola tag, dan tambahkan tag.
[Transfer.2] Server Transfer Family tidak boleh menggunakan FTP protokol untuk koneksi titik akhir
Persyaratan terkait: NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Transfer::Server
AWS Config aturan: transfer-family-server-no-ftp
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS Transfer Family server menggunakan protokol selain FTP untuk koneksi endpoint. Kontrol gagal jika server menggunakan FTP protokol untuk klien untuk terhubung ke titik akhir server.
FTP(File Transfer Protocol) menetapkan koneksi titik akhir melalui saluran yang tidak terenkripsi, meninggalkan data yang dikirim melalui saluran ini rentan terhadap intersepsi. Menggunakan SFTP (SSHFile Transfer Protocol), FTPS (File Transfer Protocol Secure), atau AS2 (Applicability Statement 2) menawarkan lapisan keamanan ekstra dengan mengenkripsi data Anda dalam perjalanan dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan.
Remediasi
Untuk mengubah protokol server Transfer Family, lihat Mengedit protokol transfer file di AWS Transfer Family Panduan Pengguna.