Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Amazon ECS
Questi controlli sono correlati alle risorse Amazon ECS.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure.
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
Regola AWS Config : ecs-task-definition-user-for-host-mode-check
Tipo di pianificazione: modifica attivata
Parametri:
-
SkipInactiveTaskDefinitions:true(non personalizzabile)
Questo controllo verifica se una definizione di attività Amazon ECS attiva con modalità di rete host dispone di definizioni privileged di user container. Il controllo ha esito negativo per le definizioni di attività che hanno definizioni di modalità di rete host e contenitore privileged=false uguali, vuote e/o vuote. user=root
Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Lo scopo di questo controllo è garantire che l'accesso sia definito intenzionalmente quando si eseguono attività che utilizzano la modalità di rete host. Se una definizione di attività ha privilegi elevati, è perché hai scelto quella configurazione. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando la definizione di un'attività ha la rete host abilitata e non si scelgono privilegi elevati.
Correzione
Per informazioni su come aggiornare una definizione di attività, consulta Updating a task definition nella Amazon Elastic Container Service Developer Guide.
Quando aggiorni una definizione di attività, non aggiorna le attività in esecuzione che sono state avviate dalla definizione di attività precedente. Per aggiornare un'attività in esecuzione, è necessario ridistribuire l'attività con la nuova definizione di attività.
[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
Requisiti correlati: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIS.800-53.r5 SC-7 (16), NIS.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::ECS::Service
AWS Config regola: ecs-service-assign-public-ip-disabled (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
-
exemptEcsServiceArns(non personalizzabile). Security Hub non inserisce questo parametro. Elenco separato da virgole di ARN dei servizi Amazon ECS che sono esenti da questa regola.Questa regola si applica
COMPLIANTse un servizio Amazon ECS èAssignPublicIPimpostato suENABLEDed è specificato in questo elenco di parametri.Questa regola si
NON_COMPLIANTapplica se un servizio Amazon ECS èAssignPublicIPimpostatoENABLEDe non è specificato in questo elenco di parametri.
Questo controllo verifica se i servizi Amazon ECS sono configurati per assegnare automaticamente indirizzi IP pubblici. Se AssignPublicIP lo è, questo controllo fallisce. ENABLED Questo controllo viene eseguito se lo AssignPublicIP èDISABLED.
Un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se avvii le istanze Amazon ECS con un indirizzo IP pubblico, le istanze Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.
Correzione
Per disabilitare l'assegnazione automatica degli IP pubblici, consulta Per configurare le impostazioni di VPC e gruppi di sicurezza per il tuo servizio nella Amazon Elastic Container Service Developer Guide.
[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Identifica > Configurazione delle risorse
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
AWS Config regola: ecs-task-definition-pid-mode-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se le definizioni delle attività di Amazon ECS sono configurate per condividere lo spazio dei nomi dei processi di un host con i relativi contenitori. Il controllo fallisce se la definizione dell'attività condivide lo spazio dei nomi del processo dell'host con i contenitori in esecuzione su di esso. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e consente il riutilizzo dei PID, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Queste circostanze potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. I clienti non devono condividere lo spazio dei nomi dei processi dell'host con i contenitori in esecuzione su di esso.
Correzione
Per configurare la pidMode definizione di un'attività, consulta i parametri di definizione dell'attività nella Amazon Elastic Container Service Developer Guide.
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteggi > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
Regola AWS Config: ecs-containers-nonprivileged
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il privileged parametro nella definizione del contenitore di Amazon ECS Task Definitions è impostato true su. Il controllo fallisce se questo parametro è uguale atrue. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege ètrue, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (analogamente all'utente root).
Correzione
Per configurare il privileged parametro su una definizione di attività, consulta i parametri di definizione avanzata dei container nella Amazon Elastic Container Service Developer Guide.
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
Regola AWS Config: ecs-containers-readonly-access
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i contenitori Amazon ECS sono limitati all'accesso in sola lettura ai filesystem root montati. Il controllo fallisce se il readonlyRootFilesystem parametro è impostato su false o se il parametro non esiste nella definizione del contenitore all'interno della definizione dell'attività. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
L'attivazione di questa opzione riduce i vettori di attacco alla sicurezza poiché il filesystem dell'istanza del contenitore non può essere manomesso o scritto su di esso a meno che l'istanza non disponga di autorizzazioni esplicite di lettura/scrittura sulla cartella e sulle directory del file system. Questo controllo aderisce anche al principio del privilegio minimo.
Correzione
Limitazione delle definizioni dei contenitori all'accesso in sola lettura ai filesystem root
Apri la console classica Amazon ECS all'indirizzo https://console.aws.amazon.com/ecs/
. -
Nel riquadro di navigazione a sinistra, scegli Definizioni delle attività.
-
Seleziona una definizione di attività con definizioni di contenitore che devono essere aggiornate. Per ognuno di essi, completa i seguenti passaggi:
-
Dal menu a discesa, scegli Crea nuova revisione con JSON.
-
Aggiungi il
readonlyRootFilesystemparametro e impostalotruenella definizione del contenitore all'interno della definizione dell'attività. -
Scegli Crea.
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Sviluppo sicuro > Credenziali non codificate
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
Regola AWS Config: ecs-no-environment-secrets
Tipo di pianificazione: modifica attivata
Parametri:
SecretKeys =
AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY,ECS_ENGINE_AUTH_DATA(non personalizzabile)
Questo controllo verifica se il valore chiave di qualsiasi variabile nel environment parametro delle definizioni dei contenitori include AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, oECS_ENGINE_AUTH_DATA. Questo controllo ha esito negativo se una singola variabile di ambiente in qualsiasi definizione di contenitore è uguale a AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, o. ECS_ENGINE_AUTH_DATA Questo controllo non copre le variabili ambientali trasmesse da altre postazioni come Amazon S3. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
AWS Systems Manager Parameter Store può aiutarti a migliorare il livello di sicurezza della tua organizzazione. Ti consigliamo di utilizzare Parameter Store per archiviare segreti e credenziali invece di passarli direttamente alle istanze del contenitore o di codificarli nel codice.
Correzione
Per creare parametri utilizzando SSM, vedere Creazione dei parametri di Systems Manager nella Guida per l'AWS Systems Manager utente. Per ulteriori informazioni sulla creazione di una definizione di attività che specifichi un segreto, consulta Specificare dati sensibili utilizzando Secrets Manager nella Amazon Elastic Container Service Developer Guide.
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 AU-6 (4) R5 CA-7, NIST. 800-53.R5 SC-7 (9), NIST. 800-53.5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: alta
Tipo di risorsa: AWS::ECS::TaskDefinition
AWS Config regola: ecs-task-definition-log -configuration
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'ultima definizione di attività attiva di Amazon ECS ha una configurazione di registrazione specificata. Il controllo fallisce se la definizione dell'attività non ha la logConfiguration proprietà definita o se il valore di logDriver è nullo in almeno una definizione di contenitore.
La registrazione aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon ECS. La raccolta di dati dalle definizioni delle attività offre visibilità, che può aiutarti a eseguire il debug dei processi e a trovare la causa principale degli errori. Se si utilizza una soluzione di registrazione che non deve essere definita nella definizione dell'attività ECS (ad esempio una soluzione di registrazione di terze parti), è possibile disabilitare questo controllo dopo aver verificato che i log vengano acquisiti e consegnati correttamente.
Correzione
Per definire una configurazione di log per le definizioni delle attività di Amazon ECS, consulta Specificare una configurazione di log nella definizione del task nella Amazon Elastic Container Service Developer Guide.
[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate
Requisiti correlati: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: media
Tipo di risorsa: AWS::ECS::Service
Regola AWS Config: ecs-fargate-latest-platform-version
Tipo di pianificazione: modifica attivata
Parametri:
latestLinuxVersion: 1.4.0(non personalizzabile)latestWindowsVersion: 1.0.0(non personalizzabile)
Questo controllo verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. Questo controllo fallisce se la versione della piattaforma non è la più recente.
AWS Fargate le versioni della piattaforma si riferiscono a un ambiente di runtime specifico per l'infrastruttura di attività Fargate, che è una combinazione di versioni di runtime del kernel e del container. Le nuove versioni della piattaforma vengono rilasciate man mano che l'ambiente di runtime si evolve. Ad esempio, può essere rilasciata una nuova versione per aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza. Gli aggiornamenti e le patch di sicurezza vengono implementati automaticamente per le attività Fargate. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma, corregge la versione della AWS piattaforma.
Correzione
Per aggiornare un servizio esistente, inclusa la versione della piattaforma, consulta la sezione Aggiornamento di un servizio nella Amazon Elastic Container Service Developer Guide.
[ECS.12] I cluster ECS devono utilizzare Container Insights
Requisiti correlati: NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::ECS::Cluster
Regola AWS Config: ecs-container-insights-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i cluster ECS utilizzano Container Insights. Questo controllo ha esito negativo se Container Insights non è configurato per un cluster.
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni dei cluster Amazon ECS. Usa CloudWatch Container Insights per raccogliere, aggregare e riepilogare metriche e log delle tue applicazioni e microservizi containerizzati. CloudWatch raccoglie automaticamente le metriche per molte risorse, come CPU, memoria, disco e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights.
Correzione
Per utilizzare Container Insights, consulta la sezione Aggiornamento di un servizio nella Amazon CloudWatch User Guide.
[ECS.13] I servizi ECS devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::ECS::Service
AWS Config regola: tagged-ecs-service (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un servizio Amazon ECS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un servizio ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.
[ECS.14] I cluster ECS devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::ECS::Cluster
AWS Config regola: tagged-ecs-cluster (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon ECS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un cluster ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.
[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::ECS::TaskDefinition
AWS Config regola: tagged-ecs-taskdefinition (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se una definizione di attività di Amazon ECS contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la definizione dell'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la definizione dell'attività non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a una definizione di attività ECS, consulta Tagging your Amazon ECS resources nella Amazon Elastic Container Service Developer Guide.
