Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per Amazon EFS
Questi controlli Security Hub valutano il servizio e le risorse Amazon Elastic File System (AmazonEFS).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 ( NIST.800-53.r5 SC-26) NIST.800-53.r5 SC-7 NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-encrypted-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.
-
Encryptedè impostato sufalsenella rispostaDescribeFileSystems. -
La chiave
KmsKeyIdnella rispostaDescribeFileSystemsnon corrisponde al parametroKmsKeyIdperefs-encrypted-check.
Questo controllo non utilizza il parametro KmsKeyId per efs-encrypted-check. Controlla solo il valore di Encrypted.
Per un ulteriore livello di sicurezza per i tuoi dati sensibili in AmazonEFS, dovresti creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un EFS file system Amazon. Per ulteriori informazioni sulla EFS crittografia Amazon, consulta la sezione Crittografia dei dati EFS in Amazon nella Amazon Elastic File System User Guide.
Correzione
Per dettagli su come crittografare un nuovo EFS file system Amazon, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.
[EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Categoria: Recupero > Resilienza > Backup
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-in-backup-plan
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i file system Amazon Elastic File System (AmazonEFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i EFS file system Amazon non sono inclusi nei piani di backup.
L'inclusione dei EFS file system nei piani di backup ti aiuta a proteggere i tuoi dati dalla cancellazione e dalla perdita di dati.
Correzione
Per abilitare i backup automatici per un EFS file system Amazon esistente, consulta Getting started 4: Create Amazon EFS automatic backup nella AWS Backup Developer Guide.
[EFS.3] i punti di EFS accesso devono applicare una directory principale
Requisiti correlati: NIST.800-53.r5 AC-6 (10)
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::EFS::AccessPoint
Regola AWS Config : efs-access-point-enforce-root-directory
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i punti di EFS accesso Amazon sono configurati per applicare una directory principale. Il controllo fallisce se il valore di Path è impostato su / (la directory principale predefinita del file system).
Quando si impone una directory principale, il NFS client che utilizza il punto di accesso utilizza la directory principale configurata sul punto di accesso anziché la directory principale del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.
Correzione
Per istruzioni su come applicare una directory principale per un punto di EFS accesso Amazon, consulta Implementazione di una directory principale con un punto di accesso nella Amazon Elastic File System User Guide.
[EFS.4] i punti di EFS accesso devono imporre l'identità di un utente
Requisiti correlati: NIST.800-53.r5 AC-6 (2), v4.0.1/7.3.1 PCI DSS
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::EFS::AccessPoint
Regola AWS Config : efs-access-point-enforce-user-identity
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i punti di EFS accesso Amazon sono configurati per applicare un'identità utente. Questo controllo fallisce se non viene definita un'identità POSIX utente durante la creazione del punto di EFS accesso.
I punti di EFS accesso Amazon sono punti di ingresso specifici dell'applicazione in un EFS file system che semplificano la gestione dell'accesso delle applicazioni ai set di dati condivisi. Gli access point possono applicare un'identità utente, inclusi i POSIX gruppi di utenti, per tutte le richieste di file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.
Correzione
Per applicare un'identità utente per un punto di EFS accesso Amazon, consulta la sezione Applicazione dell'identità utente utilizzando un punto di accesso nella Amazon Elastic File System User Guide.
[EFS.5] i punti di EFS accesso devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::EFS::AccessPoint
AWS Config regola: tagged-efs-accesspoint (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un punto di EFS accesso Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un punto di EFS accesso, consulta Tagging EFS delle risorse Amazon nella Amazon Elastic File System User Guide.
[EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-mount-target-public-accessible
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un target di EFS montaggio Amazon è associato a una sottorete privata. Il controllo fallisce se la destinazione di montaggio è associata a una sottorete pubblica.
Per impostazione predefinita, un file system è accessibile solo dal cloud privato virtuale (VPC) in cui è stato creato. Ti consigliamo di creare target di EFS montaggio in sottoreti private non accessibili da Internet. Questo aiuta a garantire che il file system sia accessibile solo agli utenti autorizzati e non sia vulnerabile ad accessi o attacchi non autorizzati.
Correzione
Non è possibile modificare l'associazione tra una destinazione di EFS montaggio e una sottorete dopo aver creato la destinazione di montaggio. Per associare una destinazione di montaggio esistente a una sottorete diversa, è necessario creare una nuova destinazione di montaggio in una sottorete privata e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza nella Amazon Elastic File System User Guide.
[EFS.7] i EFS file system devono avere i backup automatici abilitati
Categoria: Recover > Resilience > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-automatic-backups-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un EFS file system Amazon ha i backup automatici abilitati. Questo controllo fallisce se il EFS file system non ha i backup automatici abilitati.
Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.
Correzione
Per informazioni sull'utilizzo AWS Backup per i EFS file system, consulta Backup dei EFS file system nella Amazon Elastic File System User Guide
[EFS.8] i EFS file system devono essere crittografati quando sono inattivi
Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-filesystem-ct-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un EFS file system Amazon crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
Correzione
Per abilitare la crittografia a riposo per un nuovo EFS file system, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.
