View a markdown version of this page

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore - AWSSecurity Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore

Questi AWS Security Hub CSPM controlli valutano il AgentCore servizio e le risorse Amazon Bedrock. I controlli potrebbero non essere disponibili in tuttiRegioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Runtime

Regola AWS Config: bedrockagentcore-runtime-private-network-required

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AgentCore runtime Amazon Bedrock è configurato con la modalità di rete VPC. Il controllo fallisce se la modalità di rete del runtime è impostata su PUBLIC.

L'utilizzo della modalità di rete pubblica per i AgentCore runtime di Amazon Bedrock espone il runtime direttamente a Internet, aumentando la superficie di attacco e il rischio di accessi non autorizzati. La configurazione dei runtime con la modalità di rete VPC garantisce che il traffico di runtime sia limitato all'interno della rete privata, consentendoti di applicare controlli di sicurezza a livello di rete come gruppi di sicurezza, ACL di rete e log di flusso VPC.

Correzione

Per correggere questo problema, aggiorna il AgentCore runtime Bedrock non conforme e configuralo con la modalità di rete VPC. Per istruzioni, consulta Configurare Amazon Bedrock AgentCore Runtime e gli strumenti per VPC nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Gateway

Regola AWS Config: bedrockagentcore-gateway-authorizer-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Amazon Bedrock AgentCore Gateway richiede l'autorizzazione per le richieste in entrata. Il controllo fallisce se Bedrock AgentCore Gateway non ha configurato l'autorizzazione in entrata.

La configurazione dell'autenticazione sui AgentCore gateway Amazon Bedrock garantisce che solo i client autorizzati possano inviare richieste ai tuoi agenti AI. Senza un'autorizzazione, qualsiasi entità con accesso di rete all'endpoint gateway può invocare i tuoi agenti, con conseguenti possibili accessi non autorizzati ai dati, abuso di risorse o costi imprevisti. L'autorizzazione in entrata convalida gli utenti che tentano di accedere agli obiettivi tramite il gateway. AgentCore

Correzione

Per configurare l'autorizzazione in entrata per un Amazon Bedrock AgentCore Gateway, consulta Configurare l'autorizzazione in entrata per il gateway nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.3] Bedrock AgentCore Memory deve essere crittografata e gestita dal clienteAWS KMSkeys

Requisiti correlati: NIST.800-53.r5 AU-9 NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::Memory

Regola AWS Config: bedrock-agentcore-memory-encryption-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una AgentCore memoria Amazon Bedrock è crittografata quando è inattiva con una AWS KMS chiave gestita dal cliente. Il controllo fallisce se la Bedrock AgentCore Memory non è crittografata con una chiave KMS gestita dal cliente.

L'utilizzo di una chiave KMS gestita dal cliente per la crittografia della AgentCore memoria Amazon Bedrock offre una maggiore sicurezza rispetto alla chiave gestita dal servizio predefinita. Le chiavi KMS gestite dal cliente offrono il pieno controllo sul ciclo di vita delle chiavi di crittografia e sulle politiche di accesso. Inoltre, tutto l'utilizzo delle chiavi di crittografia può essere registrato e monitorato per verificarne la verificabilità. AWS CloudTrail

Correzione

Per crittografare la tua AgentCore memoria Amazon Bedrock con una chiave KMS gestita dal cliente, consulta Encrypt your Amazon Bedrock AgentCore Memory nella Amazon Bedrock Developer Guide. AgentCore

[BedrockAgentCore.4] Bedrock AgentCore Gateway deve essere crittografato con Customer ManagedAWS KMSkeys

Requisiti correlati: NIST.800-53.r5 AU-9 NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::Gateway

Regola AWS Config: bedrockagentcore-gateway-encryption-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Amazon Bedrock AgentCore Gateway è crittografato quando è inattivo con una AWS KMS chiave gestita dal cliente. Il controllo fallisce se Bedrock AgentCore Gateway non è crittografato con una chiave KMS gestita dal cliente.

Per impostazione predefinita, Amazon Bedrock AgentCore crittografa i dati del gateway con chiavi AWS gestite. L'utilizzo di una chiave KMS gestita dal cliente ti offre il pieno controllo sul ciclo di vita della chiave di crittografia, inclusa la rotazione, le politiche di accesso e il controllo. AWS CloudTrail Questo aiuta a soddisfare i requisiti di conformità che impongono la crittografia controllata dal cliente per carichi di lavoro AI sensibili.

Correzione

Per crittografare il tuo Bedrock AgentCore Gateway con una chiave KMS gestita dal cliente, consulta Crittografa il tuo AgentCore gateway con una chiave KMS gestita dal cliente nella Amazon Bedrock Developer Guide. AgentCore

[BedrockAgentCore.5] I browser personalizzati AgentCore Bedrock non devono utilizzare la modalità di rete pubblica

Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::BrowserCustom

Regola AWS Config: bedrockagentcore-browsercustom-network-mode-not-public

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un browser AgentCore personalizzato Amazon Bedrock è configurato con la modalità di rete pubblica. Il controllo fallisce se la modalità di rete è impostata su pubblica.

L'utilizzo della modalità di rete PUBBLICA per i browser AgentCore personalizzati Amazon Bedrock espone le sessioni del browser direttamente a Internet, aumentando la superficie di attacco e il rischio di accessi non autorizzati. La configurazione dei browser con la modalità di rete VPC garantisce che il traffico del browser sia limitato all'interno della rete privata, consentendoti di applicare controlli di sicurezza a livello di rete come gruppi di sicurezza, ACL di rete e log di flusso VPC.

Correzione

Per correggere questo problema, elimina il browser AgentCore personalizzato Bedrock non conforme e ricrealo con la modalità di rete VPC. Per istruzioni, consulta Configurare Amazon Bedrock AgentCore Runtime e gli strumenti per VPC nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.6] I browser AgentCore personalizzati Bedrock devono avere la registrazione delle sessioni abilitata

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::BrowserCustom

Regola AWS Config: bedrockagentcore-browsercustom-recording-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un browser AgentCore personalizzato Amazon Bedrock ha la registrazione della sessione abilitata con una destinazione S3 configurata. Il controllo ha esito negativo se un browser personalizzato non ha la registrazione abilitata o non ha una posizione S3 configurata per l'archiviazione delle registrazioni.

La registrazione delle sessioni per i browser AgentCore personalizzati Bedrock garantisce la piena verificabilità delle interazioni del browser, consentendo il rilevamento di accessi non autorizzati, esfiltrazione di dati o attività dannose durante le sessioni di navigazione automatizzate.

Correzione

Per istruzioni su come abilitare la registrazione delle sessioni del browser, consulta Session Recording and Replay nella Amazon Bedrock AgentCore Developer Guide.

[BedrockAgentCore.7] Gli interpreti di codice AgentCore personalizzato Bedrock devono utilizzare una configurazione di rete privata

Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::CodeInterpreterCustom

Regola AWS Config: bedrockagentcore-codeinterpreter-networkmode-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un interprete di codice AgentCore personalizzato Amazon Bedrock è configurato con una modalità di rete privata. Il controllo fallisce se la modalità di rete è impostata su oPUBLIC. SANDBOX

La configurazione degli interpreti di codice AgentCore personalizzati Bedrock con una modalità di rete privata garantisce che gli ambienti di esecuzione del codice siano isolati all'interno del tuo VPC. Le modalità di rete pubbliche o sandbox espongono l'interprete di codice a Internet, aumentando il rischio di accesso non autorizzato e di esfiltrazione dei dati. L'utilizzo della modalità di rete privata limita l'accesso alla rete e aiuta a proteggere i dati sensibili elaborati durante l'interpretazione del codice.

Correzione

Per correggere questo risultato, elimina l'interprete di codice AgentCore personalizzato Bedrock non conforme e ricrealo con la modalità di rete VPC. Per istruzioni, consulta Configurazione dell'accesso VPC per runtime e strumenti nella Amazon AgentCore Bedrock Developer Guide.