Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM di Security Hub per Auto Scaling
Questi controlli CSPM di Security Hub valutano il servizio e le risorse EC2 di Amazon Auto Scaling.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB
**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 SI-2 NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Inventario
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling associato a un sistema di bilanciamento del carico utilizza i controlli di integrità Elastic Load Balancing (ELB). Il controllo fallisce se il gruppo Auto Scaling non utilizza i controlli di integrità ELB.
I controlli di integrità ELB aiutano a garantire che un gruppo di Auto Scaling possa determinare lo stato di un'istanza sulla base di test aggiuntivi forniti dal sistema di bilanciamento del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing aiuta anche a supportare la disponibilità delle applicazioni che utilizzano i gruppi di Auto EC2 Scaling.
### Correzione
Per aggiungere i controlli di integrità di Elastic Load Balancing, consulta [Add Elastic Load Balancing health](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) check nella Amazon *Auto EC2 Scaling* User Guide.
## [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Numero minimo di zone di disponibilità | Enum | `2, 3, 4, 5, 6` | `2` |
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling copre almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un gruppo Auto Scaling non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs
Un gruppo di Auto Scaling che non si estende su più aree non AZs può avviare istanze in un'altra zona per compensare l'eventuale indisponibilità della singola AZ configurata. Tuttavia, un gruppo di Auto Scaling con una singola zona di disponibilità può essere preferito in alcuni casi d'uso, come i lavori in batch o quando i costi di trasferimento tra le AZ devono essere ridotti al minimo. In questi casi, è possibile disabilitare questo controllo o eliminarne i risultati.
### Correzione
Per aggiungere AZs a un gruppo Auto Scaling esistente, consulta [Aggiungere e rimuovere zone di disponibilità](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) nella *Amazon Auto EC2 Scaling* User Guide.
## [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2
**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AC-3 NIST.800-53.r5 NIST.800-53.r5 AC-6 CM-2, PCI DSS v4.0.1/2.2.6
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se IMDSv2 è abilitato su tutte le istanze avviate dai gruppi Amazon EC2 Auto Scaling. Il controllo fallisce se la versione di Instance Metadata Service (IMDS) non è inclusa nella configurazione di avvio o è configurata come`token optional`, ovvero un'impostazione che consente o. IMDSv1 IMDSv2
IMDS fornisce dati sull'istanza che puoi utilizzare per configurare o gestire l'istanza in esecuzione.
La versione 2 dell'IMDS aggiunge nuove protezioni che non erano disponibili IMDSv1 per proteggere ulteriormente le istanze. EC2
### Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo Auto Scaling, utilizzate una configurazione di avvio esistente come base per una nuova configurazione di avvio con IMDSv2 enabled. Per ulteriori informazioni, consulta [Configurare le opzioni dei metadati delle istanze per le nuove istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) nella *Amazon EC2 User Guide*.
## [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica il numero di hop di rete che un token di metadati può percorrere. Il controllo ha esito negativo se il limite dell'hop di risposta ai metadati è maggiore di. `1`
L'Instance Metadata Service (IMDS) fornisce informazioni sui metadati su un' EC2 istanza Amazon ed è utile per la configurazione delle applicazioni. La limitazione della `PUT` risposta HTTP per il servizio di metadati alla sola EC2 istanza protegge l'IMDS dall'uso non autorizzato.
Il campo Time To Live (TTL) nel pacchetto IP viene ridotto di uno per ogni hop. Questa riduzione può essere utilizzata per garantire che il pacchetto non viaggi all'esterno. EC2 IMDSv2 protegge EC2 le istanze che potrebbero essere state configurate erroneamente come router aperti, firewall di livello 3, tunnel o dispositivi NAT VPNs, impedendo così agli utenti non autorizzati di recuperare i metadati. Con IMDSv2, la `PUT` risposta che contiene il token segreto non può uscire dall'istanza perché il limite di hop di risposta ai metadati predefinito è impostato su. `1` Tuttavia, se questo valore è maggiore di`1`, il token può lasciare l' EC2 istanza.
### Correzione
Per modificare il limite dell'hop di risposta ai metadati per una configurazione di avvio esistente, consulta [Modificare le opzioni dei metadati dell'istanza per le istanze esistenti](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) nella *Amazon EC2 * User Guide.
## [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la configurazione di avvio associata a un gruppo di Auto Scaling assegna un [indirizzo IP pubblico](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) alle istanze del gruppo. Il controllo fallisce se la configurazione di avvio associata assegna un indirizzo IP pubblico.
EC2 Le istanze Amazon in una configurazione di avvio di gruppo Auto Scaling non devono avere un indirizzo IP pubblico associato, tranne in casi limite limitati. EC2 Le istanze Amazon dovrebbero essere accessibili solo da un sistema di bilanciamento del carico anziché essere esposte direttamente a Internet.
### Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo con scalabilità automatica, utilizza una configurazione di avvio esistente come base per una nuova configurazione. Quindi, aggiorna il gruppo Auto Scaling affinché utilizzi la nuova configurazione di avvio. Per step-by-step istruzioni, consulta [Modificare la configurazione di avvio per un gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) nella *Amazon Auto EC2 Scaling User Guide*. Quando crei la nuova configurazione di avvio, in **Configurazione aggiuntiva**, per **Dettagli avanzati, tipo di indirizzo IP**, scegli **Non assegnare un indirizzo IP pubblico a** nessuna istanza.
Dopo aver modificato la configurazione di avvio, Auto Scaling avvia nuove istanze con le nuove opzioni di configurazione. Le istanze esistenti non sono interessate. Per aggiornare un'istanza esistente, ti consigliamo di aggiornare l'istanza o di consentire il ridimensionamento automatico per sostituire gradualmente le istanze più vecchie con quelle più recenti in base alle tue politiche di terminazione. *Per ulteriori informazioni sull'aggiornamento delle istanze di Auto Scaling, consulta Update Auto [Scaling istances nella Amazon Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) User Guide. EC2 *
## [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling utilizza più tipi di istanze. Il controllo fallisce se il gruppo Auto Scaling ha un solo tipo di istanza definito.
È possibile aumentare la disponibilità distribuendo l’applicazione su più tipi di istanze in esecuzione in più zone di disponibilità. Security Hub CSPM consiglia di utilizzare più tipi di istanze in modo che il gruppo Auto Scaling possa avviare un altro tipo di istanza se la capacità delle istanze nelle zone di disponibilità scelte è insufficiente.
### Correzione
Per creare un gruppo Auto Scaling con più tipi di istanze, consulta [Gruppi di Auto Scaling con più tipi di istanze e opzioni di acquisto](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) nella Amazon *Auto EC2 Scaling* User Guide.
## [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling viene creato a partire da un modello di EC2 lancio. Questo controllo fallisce se un gruppo Amazon EC2 Auto Scaling non viene creato con un modello di lancio o se un modello di avvio non è specificato in una politica a istanze miste.
Un gruppo EC2 Auto Scaling può essere creato da un modello di EC2 avvio o da una configurazione di avvio. Tuttavia, l'utilizzo di un modello di avvio per creare un gruppo Auto Scaling garantisce l'accesso alle funzionalità e ai miglioramenti più recenti.
### Correzione
Per creare un gruppo Auto Scaling con un modello di EC2 lancio, consulta [Creare un gruppo Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) nella Amazon *Auto EC2 Scaling* User Guide. Per informazioni su come sostituire una configurazione di avvio con un modello di avvio, consulta [Sostituire una configurazione di avvio con un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) nella *Amazon EC2 User Guide*.
## [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config regola:** `tagged-autoscaling-autoscalinggroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo Auto Scaling non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo Auto Scaling non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gruppo di Auto Scaling, consulta [Gruppi e istanze di Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) nella *Amazon EC2 Auto Scaling* User Guide.