Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon ECS
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Container Service (Amazon ECS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure
**Importante**
Security Hub CSPM ha ritirato questo controllo nel marzo 2026. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md). È possibile fare riferimento ai seguenti controlli per la valutazione della configurazione privilegiata, della configurazione della modalità di rete e della configurazione utente:
[[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](#ecs-4)
[[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](#ecs-17)
[[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](#ecs-20)
[[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](#ecs-21)
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `SkipInactiveTaskDefinitions`: `true` (non personalizzabile)
Questo controllo verifica se una definizione di attività Amazon ECS attiva con modalità di rete host dispone di definizioni `privileged` di `user` container. Il controllo ha esito negativo per le definizioni di attività che hanno definizioni di modalità di rete host e contenitore `privileged=false` uguali, vuote e/o vuote. `user=root`
Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Lo scopo di questo controllo è garantire che l'accesso sia definito intenzionalmente quando si eseguono attività che utilizzano la modalità di rete host. Se una definizione di attività ha privilegi elevati, è perché hai scelto quella configurazione. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando la definizione di un'attività ha la rete host abilitata e non si scelgono privilegi elevati.
### Correzione
Per informazioni su come aggiornare una definizione di attività, consulta la sezione [Aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) nella *Amazon Elastic Container Service Developer Guide*.
Quando aggiorni una definizione di attività, non aggiorna le attività in esecuzione che sono state avviate dalla definizione di attività precedente. Per aggiornare un'attività in esecuzione, è necessario ridistribuire l'attività con la nuova definizione di attività.
## [ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::Service`
**AWS Config regola:** `ecs-service-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se i servizi Amazon ECS sono configurati per assegnare automaticamente indirizzi IP pubblici. Se `AssignPublicIP` lo è, questo controllo fallisce. `ENABLED` Questo controllo viene eseguito se lo `AssignPublicIP` è`DISABLED`.
Un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se avvii le istanze Amazon ECS con un indirizzo IP pubblico, le istanze Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.
### Correzione
**Innanzitutto, è necessario creare una definizione di attività per il cluster che utilizzi la modalità di `awsvpc` rete e specifichi FARGATE per.** `requiresCompatibilities` **Quindi, per la **configurazione di Compute**, scegli **Launch type** e FARGATE.** Infine, per il campo **Rete**, disattivate l'**IP pubblico per disabilitare l'**assegnazione automatica degli IP pubblici per il vostro servizio.
## [ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host
**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2
**Categoria**: Identifica > Configurazione delle risorse
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni delle attività di Amazon ECS sono configurate per condividere lo spazio dei nomi dei processi di un host con i relativi contenitori. Il controllo fallisce se la definizione dell'attività condivide lo spazio dei nomi del processo dell'host con i contenitori in esecuzione su di esso. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Queste circostanze potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. I clienti non devono condividere lo spazio dei nomi dei processi dell'host con i contenitori in esecuzione su di esso.
### Correzione
Per configurare la `pidMode` definizione di un'attività, consulta [i parametri di definizione dell'attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) nella Amazon Elastic Container Service Developer Guide.
## [ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il `privileged` parametro nella definizione del contenitore di Amazon ECS Task Definitions è impostato `true` su. Il controllo fallisce se questo parametro è uguale a`true`. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege è`true`, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (analogamente all'utente root).
### Correzione
Per configurare il `privileged` parametro su una definizione di attività, consulta [i parametri di definizione avanzata dei container](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) nella Amazon Elastic Container Service Developer Guide.
## [ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni delle attività ECS configurano i contenitori in modo che siano limitati all'accesso in sola lettura ai file system root montati. Il controllo ha esito negativo se il `readonlyRootFilesystem` parametro nelle definizioni dei contenitori della definizione delle attività ECS è impostato su o il parametro non esiste nella definizione del contenitore all'interno della definizione dell'attività. `false` Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Se il `readonlyRootFilesystem` parametro è impostato su `true` in una definizione di attività Amazon ECS, al contenitore ECS viene concesso l'accesso in sola lettura al relativo file system root. Ciò riduce i vettori di attacco alla sicurezza perché il file system root dell'istanza del contenitore non può essere manomesso o scritto senza supporti espliciti di volume con autorizzazioni di lettura/scrittura per cartelle e directory del file system. L'attivazione di questa opzione rispetta anche il principio del privilegio minimo.
**Nota**
Il `readonlyRootFilesystem` parametro non è supportato per i contenitori Windows. Le definizioni delle attività `runtimePlatform` configurate per specificare una famiglia di `WINDOWS_SERVER` sistemi operativi sono contrassegnate come `NOT_APPLICABLE` e non genereranno risultati per questo controllo.
### Correzione
Per consentire a un contenitore Amazon ECS l'accesso in sola lettura al relativo file system root, aggiungi il `readonlyRootFilesystem` parametro alla definizione dell'attività per il contenitore e imposta il valore del parametro su. `true` Per informazioni sui parametri di definizione delle attività e su come aggiungerli a una definizione di attività, consulta [le definizioni delle attività di Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) e [l'aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2
**Categoria**: Protezione > Sviluppo sicuro > Credenziali non codificate
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri`secretKeys`:**`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personalizzabili)
Questo controllo verifica se il valore chiave di qualsiasi variabile nel `environment` parametro delle definizioni dei contenitori include `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o`ECS_ENGINE_AUTH_DATA`. Questo controllo ha esito negativo se una singola variabile di ambiente in qualsiasi definizione di contenitore è uguale a `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o. `ECS_ENGINE_AUTH_DATA` Questo controllo non copre le variabili ambientali trasmesse da altre postazioni come Amazon S3. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
AWS Systems Manager Parameter Store può aiutarti a migliorare il livello di sicurezza della tua organizzazione. Ti consigliamo di utilizzare Parameter Store per archiviare segreti e credenziali invece di passarli direttamente alle istanze del contenitore o di codificarli nel codice.
### Correzione
Per creare parametri utilizzando SSM, vedere [Creazione dei parametri di Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) nella *Guida per l'AWS Systems Manager utente*. Per ulteriori informazioni sulla creazione di una definizione di attività che specifichi un segreto, consulta [Specificare dati sensibili utilizzando Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**AWS Config regola: ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se l'ultima definizione di attività attiva di Amazon ECS ha una configurazione di registrazione specificata. Il controllo fallisce se la definizione dell'attività non ha la `logConfiguration` proprietà definita o se il valore di `logDriver` è nullo in almeno una definizione di contenitore.
La registrazione aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon ECS. La raccolta di dati dalle definizioni delle attività offre visibilità, che può aiutarti a eseguire il debug dei processi e a trovare la causa principale degli errori. Se si utilizza una soluzione di registrazione che non deve essere definita nella definizione dell'attività ECS (ad esempio una soluzione di registrazione di terze parti), è possibile disabilitare questo controllo dopo aver verificato che i log vengano acquisiti e consegnati correttamente.
### Correzione
Per definire una configurazione di log per le definizioni delle attività di Amazon ECS, consulta [Specificare una configurazione di log nella definizione del task nella](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Amazon Elastic Container Service Developer Guide*.
## [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::Service`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `latestLinuxVersion: 1.4.0`(non personalizzabile)
+ `latestWindowsVersion: 1.0.0`(non personalizzabile)
Questo controllo verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. Questo controllo fallisce se la versione della piattaforma non è la più recente.
AWS Fargate le versioni della piattaforma si riferiscono a un ambiente di runtime specifico per l'infrastruttura di attività Fargate, che è una combinazione di versioni di runtime del kernel e del container. Le nuove versioni della piattaforma vengono rilasciate man mano che l'ambiente di runtime si evolve. Ad esempio, può essere rilasciata una nuova versione per aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza. Gli aggiornamenti e le patch di sicurezza vengono implementati automaticamente per le attività Fargate. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma, corregge la versione della AWS piattaforma.
### Correzione
Per aggiornare un servizio esistente, inclusa la versione della piattaforma, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.12] I cluster ECS devono utilizzare Container Insights
**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i cluster ECS utilizzano Container Insights. Questo controllo ha esito negativo se Container Insights non è configurato per un cluster.
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni dei cluster Amazon ECS. Usa CloudWatch Container Insights per raccogliere, aggregare e riepilogare metriche e log delle tue applicazioni e microservizi containerizzati. CloudWatch raccoglie automaticamente le metriche per molte risorse, come CPU, memoria, disco e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights.
### Correzione
Per utilizzare Container Insights, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) nella *Amazon CloudWatch User Guide*.
## [ECS.13] I servizi ECS devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::Service`
**AWS Config regola:** `tagged-ecs-service` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un servizio Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un servizio ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.14] I cluster ECS devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::Cluster`
**AWS Config regola:** `tagged-ecs-cluster` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un cluster ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.15] Le definizioni delle attività ECS devono essere contrassegnate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**AWS Config regola:** `tagged-ecs-taskdefinition` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una definizione di attività di Amazon ECS contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la definizione dell'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la definizione dell'attività non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una definizione di attività ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
**Requisiti correlati**: PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskSet`
**AWS Config regola:** `ecs-taskset-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un set di attività Amazon ECS è configurato per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se `AssignPublicIP` è impostato su. `ENABLED`
Un indirizzo IP pubblico è raggiungibile da Internet. Se si configura il set di attività con un indirizzo IP pubblico, le risorse associate al set di attività possono essere raggiunte da Internet. I set di attività ECS non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.
### Correzione
Per aggiornare un set di attività ECS in modo che non utilizzi un indirizzo IP pubblico, consulta [Aggiornare una definizione di attività Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer* Guide.
## [ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la modalità di `host` rete. Il controllo fallisce se l'ultima revisione attiva della definizione del task ECS utilizza la modalità di rete. `host`
Quando si utilizza la modalità di `host` rete, la rete di un contenitore Amazon ECS è collegata direttamente all'host sottostante che esegue il contenitore. Di conseguenza, questa modalità consente ai contenitori di connettersi ai servizi di rete di loopback privati sull'host e di impersonare l'host. Altri svantaggi significativi sono che non è possibile rimappare una porta container quando si utilizza la modalità di `host` rete e non è possibile eseguire più di una singola istanza di un'attività su ciascun host.
### Correzione
Per informazioni sulle modalità e le opzioni di rete per le attività di Amazon ECS ospitate su istanze Amazon EC2, consulta le [opzioni di task networking di Amazon ECS per il tipo di lancio EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) nella *Amazon Elastic Container Service Developer Guide*. Per informazioni sulla creazione di una nuova revisione di una definizione di attività e sulla specificazione di una modalità di rete diversa, consulta [Updating an Amazon ECS task definition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) in quella guida.
Se la definizione di attività di Amazon ECS è stata creata da AWS Batch, consulta [Modalità di rete per i AWS Batch lavori per](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) conoscere le modalità di rete e l'utilizzo tipico dei tipi di AWS Batch lavoro e per scegliere un'opzione sicura.
## [ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS
**Categoria: Proteggi > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la crittografia in transito per i volumi EFS. Il controllo fallisce se l'ultima revisione attiva della definizione dell'attività ECS ha la crittografia in transito disabilitata per i volumi EFS.
I volumi Amazon EFS forniscono uno storage di file condiviso semplice, scalabile e persistente da utilizzare con le attività di Amazon ECS. Amazon EFS supporta la crittografia dei dati in transito con Transport Layer Security (TLS). Quando la crittografia dei dati in transito viene dichiarata come opzione di montaggio per il file system EFS, Amazon EFS stabilisce una connessione TLS sicura con il file system EFS al momento del montaggio del file system.
### Correzione
Per informazioni sull'attivazione della crittografia in transito per Amazon ECS Task Definition con volumi EFS, consulta la [Fase 5: Creare una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni
**Categoria: Proteggi > Protezione** dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::CapacityProvider`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un provider di capacità Amazon ECS ha abilitato la protezione gestita delle terminazioni. Il controllo fallisce se la protezione gestita dalla terminazione non è abilitata su un provider di capacità ECS.
I provider di capacità Amazon ECS gestiscono il dimensionamento dell'infrastruttura per le attività nei cluster. Quando si utilizzano le istanze EC2 per la propria capacità, si utilizza il gruppo Auto Scaling per gestire le istanze EC2. La protezione dalla terminazione gestita consente al dimensionamento automatico del cluster di controllare quali istanze vengono terminate. Quando usi la protezione da terminazione gestita, Amazon ECS termina solo le istanze EC2 che non dispongono di attività Amazon ECS in esecuzione.
**Nota**
Quando utilizzi la protezione da terminazione gestita, devi utilizzare anche il dimensionamento gestito per farla funzionare.
### Correzione
Per abilitare la protezione gestita dalle terminazioni per un provider di capacità Amazon ECS, consulta [Updating managed termination protection for Amazon ECS capacity provider nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) *Elastic Container* Service Developer Guide.
## [ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Linux per l'esecuzione come utenti non root. Il controllo fallisce se è configurato un utente root predefinito o se la configurazione utente è assente per qualsiasi contenitore.
Quando i contenitori Linux vengono eseguiti con privilegi di root, presentano diversi rischi significativi per la sicurezza. Gli utenti root hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante. Se un container che funziona come root viene compromesso, gli aggressori possono sfruttarlo per accedere o modificare le risorse del sistema host, danneggiando altri contenitori o l'host stesso. Inoltre, l'accesso root potrebbe consentire attacchi di escalation dei privilegi, permettendo agli aggressori di ottenere autorizzazioni aggiuntive oltre all'ambito previsto dal contenitore. Il parametro user nelle definizioni delle attività ECS può specificare gli utenti in diversi formati, tra cui nome utente, ID utente, nome utente con gruppo o UID con ID di gruppo. È importante essere consapevoli di questi diversi formati durante la configurazione delle definizioni delle attività per garantire che non venga concesso inavvertitamente l'accesso root. Seguendo il principio del privilegio minimo, i contenitori devono funzionare con le autorizzazioni minime richieste utilizzando utenti non root. Questo approccio riduce in modo significativo la potenziale superficie di attacco e mitiga l'impatto di potenziali violazioni della sicurezza.
**Nota**
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `LINUX` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come utente root predefinito. Gli utenti root predefiniti per i `LINUX` contenitori sono `"root"` e`"0"`.
### Correzione
Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.
## [ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Windows per l'esecuzione come utenti che non sono amministratori predefiniti. Il controllo fallisce se un amministratore predefinito è configurato come utente o la configurazione utente è assente per qualsiasi contenitore.
Quando i contenitori Windows vengono eseguiti con privilegi di amministratore, presentano diversi rischi significativi per la sicurezza. Gli amministratori hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante.
**Nota**
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `WINDOWS_SERVER` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come amministratore predefinito per `WINDOWS_SERVER` i contenitori, ovvero. `"containeradministrator"`
### Correzione
Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.