Controlli del Security Hub per Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questi controlli Security Hub valutano il servizio e le risorse Amazon Elastic Container Service (Amazon ECS).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure.

Requisiti correlati: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

Regola AWS Config : ecs-task-definition-user-for-host-mode-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se una definizione di attività Amazon ECS attiva con modalità di rete host dispone di definizioni privileged di user container. Il controllo ha esito negativo per le definizioni di attività che hanno definizioni di modalità di rete host e contenitore privileged=false uguali, vuote e/o vuote. user=root

Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Lo scopo di questo controllo è garantire che l'accesso sia definito intenzionalmente quando si eseguono attività che utilizzano la modalità di rete host. Se una definizione di attività ha privilegi elevati, è perché hai scelto quella configurazione. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando la definizione di un'attività ha la rete host abilitata e non si scelgono privilegi elevati.

Correzione

Per informazioni su come aggiornare una definizione di attività, consulta la sezione Aggiornamento di una definizione di attività nella Amazon Elastic Container Service Developer Guide.

Quando aggiorni una definizione di attività, non aggiorna le attività in esecuzione che sono state avviate dalla definizione di attività precedente. Per aggiornare un'attività in esecuzione, è necessario ridistribuire l'attività con la nuova definizione di attività.

[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::ECS::Service

AWS Config regola: ecs-service-assign-public-ip-disabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i servizi Amazon ECS sono configurati per assegnare automaticamente indirizzi IP pubblici. Se AssignPublicIP lo è, questo controllo fallisce. ENABLED Questo controllo viene eseguito se lo AssignPublicIP èDISABLED.

Un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se avvii le istanze Amazon ECS con un indirizzo IP pubblico, le istanze Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.

Correzione

Innanzitutto, è necessario creare una definizione di attività per il cluster che utilizzi la modalità di awsvpc rete e specifichi FARGATE per. requiresCompatibilities Quindi, per la configurazione di Compute, scegli Launch type e FARGATE. Infine, per il campo Rete, disattivate l'IP pubblico per disabilitare l'assegnazione automatica degli IP pubblici per il vostro servizio.

[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Identifica > Configurazione delle risorse

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

AWS Config regola: ecs-task-definition-pid-mode-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le definizioni delle attività di Amazon ECS sono configurate per condividere lo spazio dei nomi dei processi di un host con i relativi contenitori. Il controllo fallisce se la definizione dell'attività condivide lo spazio dei nomi del processo dell'host con i contenitori in esecuzione su di esso. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Queste circostanze potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. I clienti non devono condividere lo spazio dei nomi dei processi dell'host con i contenitori in esecuzione su di esso.

Correzione

Per configurare la pidMode definizione di un'attività, consulta i parametri di definizione dell'attività nella Amazon Elastic Container Service Developer Guide.

[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

Regola AWS Config: ecs-containers-nonprivileged

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il privileged parametro nella definizione del contenitore di Amazon ECS Task Definitions è impostato true su. Il controllo fallisce se questo parametro è uguale atrue. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege ètrue, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (analogamente all'utente root).

Correzione

Per configurare il privileged parametro su una definizione di attività, consulta i parametri di definizione avanzata dei container nella Amazon Elastic Container Service Developer Guide.

[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root

Requisiti correlati: NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

Regola AWS Config: ecs-containers-readonly-access

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i contenitori Amazon ECS sono limitati all'accesso in sola lettura ai filesystem root montati. Il controllo fallisce se il readonlyRootFilesystem parametro è impostato su false o se il parametro non esiste nella definizione del contenitore all'interno della definizione dell'attività. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

L'attivazione di questa opzione riduce i vettori di attacco alla sicurezza poiché il filesystem dell'istanza del contenitore non può essere manomesso o scritto su di esso a meno che l'istanza non disponga di autorizzazioni esplicite di lettura/scrittura sulla cartella e sulle directory del filesystem. Questo controllo aderisce anche al principio del privilegio minimo.

Correzione

[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2

Categoria: Protezione > Sviluppo sicuro > Credenziali non codificate

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

Regola AWS Config: ecs-no-environment-secrets

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se il valore chiave di qualsiasi variabile nel environment parametro delle definizioni dei contenitori include AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, oECS_ENGINE_AUTH_DATA. Questo controllo ha esito negativo se una singola variabile di ambiente in qualsiasi definizione di contenitore è uguale a AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, o. ECS_ENGINE_AUTH_DATA Questo controllo non copre le variabili ambientali trasmesse da altre postazioni come Amazon S3. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.

AWS Systems Manager Parameter Store può aiutarti a migliorare il livello di sicurezza della tua organizzazione. Ti consigliamo di utilizzare Parameter Store per archiviare segreti e credenziali invece di passarli direttamente alle istanze del contenitore o di codificarli nel codice.

Correzione

Per creare parametri utilizzando SSM, vedere Creazione dei parametri di Systems Manager nella Guida per l'AWS Systems Manager utente. Per ulteriori informazioni sulla creazione di una definizione di attività che specifichi un segreto, consulta Specificare dati sensibili utilizzando Secrets Manager nella Amazon Elastic Container Service Developer Guide.

[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione

Requisiti correlati: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)

Categoria: Identificazione > Registrazione

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskDefinition

AWS Config regola: ecs-task-definition-log -configuration

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'ultima definizione di attività attiva di Amazon ECS ha una configurazione di registrazione specificata. Il controllo fallisce se la definizione dell'attività non ha la logConfiguration proprietà definita o se il valore di logDriver è nullo in almeno una definizione di contenitore.

La registrazione aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon ECS. La raccolta di dati dalle definizioni delle attività offre visibilità, che può aiutarti a eseguire il debug dei processi e a trovare la causa principale degli errori. Se si utilizza una soluzione di registrazione che non deve essere definita nella definizione dell'attività ECS (ad esempio una soluzione di registrazione di terze parti), è possibile disabilitare questo controllo dopo aver verificato che i log vengano acquisiti e consegnati correttamente.

Correzione

Per definire una configurazione di log per le definizioni delle attività di Amazon ECS, consulta Specificare una configurazione di log nella definizione del task nella Amazon Elastic Container Service Developer Guide.

[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate

Requisiti correlati: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::ECS::Service

Regola AWS Config: ecs-fargate-latest-platform-version

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. Questo controllo fallisce se la versione della piattaforma non è la più recente.

AWS Fargate le versioni della piattaforma si riferiscono a un ambiente di runtime specifico per l'infrastruttura di attività Fargate, che è una combinazione di versioni di runtime del kernel e del container. Le nuove versioni della piattaforma vengono rilasciate man mano che l'ambiente di runtime si evolve. Ad esempio, può essere rilasciata una nuova versione per aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza. Gli aggiornamenti e le patch di sicurezza vengono implementati automaticamente per le attività Fargate. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma, corregge la versione della AWS piattaforma.

Correzione

Per aggiornare un servizio esistente, inclusa la versione della piattaforma, consulta la sezione Aggiornamento di un servizio nella Amazon Elastic Container Service Developer Guide.

[ECS.12] I cluster ECS devono utilizzare Container Insights

Requisiti correlati:, NIST.800-53.R5 SI-2 NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::ECS::Cluster

Regola AWS Config: ecs-container-insights-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i cluster ECS utilizzano Container Insights. Questo controllo ha esito negativo se Container Insights non è configurato per un cluster.

Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni dei cluster Amazon ECS. Usa CloudWatch Container Insights per raccogliere, aggregare e riepilogare metriche e log delle tue applicazioni e microservizi containerizzati. CloudWatch raccoglie automaticamente le metriche per molte risorse, come CPU, memoria, disco e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights.

Correzione

Per utilizzare Container Insights, consulta la sezione Aggiornamento di un servizio nella Amazon CloudWatch User Guide.

[ECS.13] I servizi ECS devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::ECS::Service

AWS Config regola: tagged-ecs-service (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un servizio Amazon ECS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un servizio ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.

[ECS.14] I cluster ECS devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::ECS::Cluster

AWS Config regola: tagged-ecs-cluster (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un cluster Amazon ECS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un cluster ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.

[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::ECS::TaskDefinition

AWS Config regola: tagged-ecs-taskdefinition (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se una definizione di attività di Amazon ECS contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la definizione dell'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la definizione dell'attività non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a una definizione di attività ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.

[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici

Requisiti correlati: PCI DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::ECS::TaskSet

AWS Config regola: ecs-taskset-assign-public-ip-disabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un set di attività Amazon ECS è configurato per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se AssignPublicIP è impostato su. ENABLED

Un indirizzo IP pubblico è raggiungibile da Internet. Se si configura il set di attività con un indirizzo IP pubblico, le risorse associate al set di attività possono essere raggiunte da Internet. I set di attività ECS non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.

Correzione

Per aggiornare un set di attività ECS in modo che non utilizzi un indirizzo IP pubblico, consulta Aggiornare una definizione di attività Amazon ECS utilizzando la console nella Amazon Elastic Container Service Developer Guide.