Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon EFS
Questi controlli Security Hub valutano il servizio e le risorse Amazon Elastic File System (Amazon EFS).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-encrypted-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.
-
Encrypted
è impostato sufalse
nella rispostaDescribeFileSystems
. -
La chiave
KmsKeyId
nella rispostaDescribeFileSystems
non corrisponde al parametroKmsKeyId
perefs-encrypted-check
.
Questo controllo non utilizza il parametro KmsKeyId
per efs-encrypted-check
. Controlla solo il valore di Encrypted
.
Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è necessario creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un file system Amazon EFS. Per ulteriori informazioni sulla crittografia Amazon EFS, consulta la sezione Crittografia dei dati in Amazon EFS nella Amazon Elastic File System User Guide.
Correzione
Per dettagli su come crittografare un nuovo file system Amazon EFS, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
Categoria: Recupero > Resilienza > Backup
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-in-backup-plan
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i file system Amazon EFS non sono inclusi nei piani di backup.
L'inclusione dei file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.
Correzione
Per abilitare i backup automatici per un file system Amazon EFS esistente, consulta Getting started 4: Create backup automatici di Amazon EFS nella AWS Backup Developer Guide.
[EFS.3] I punti di accesso EFS devono applicare una directory principale
Requisiti correlati: NIST.800-53.r5 AC-6 (10)
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::EFS::AccessPoint
Regola AWS Config : efs-access-point-enforce-root-directory
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare una directory principale. Il controllo fallisce se il valore di Path
è impostato su /
(la directory principale predefinita del file system).
Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.
Correzione
Per istruzioni su come applicare una directory principale per un punto di accesso Amazon EFS, consulta Implementazione di una directory principale con un punto di accesso nella Amazon Elastic File System User Guide.
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
Requisiti correlati: NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::EFS::AccessPoint
Regola AWS Config : efs-access-point-enforce-user-identity
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare un'identità utente. Questo controllo ha esito negativo se non viene definita un'identità utente POSIX durante la creazione del punto di accesso EFS.
I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un'identità utente, inclusi i gruppi dell'utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.
Correzione
Per applicare un'identità utente per un punto di accesso Amazon EFS, consulta Applica un'identità utente utilizzando un punto di accesso nella Amazon Elastic File System User Guide.
[EFS.5] I punti di accesso EFS devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::EFS::AccessPoint
AWS Config regola: tagged-efs-accesspoint
(regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un punto di accesso Amazon EFS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys
. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys
. Se il parametro requiredTagKeys
non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:
, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un punto di accesso EFS, consulta la sezione Tagging delle risorse Amazon EFS nella Amazon Elastic File System User Guide.
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-mount-target-public-accessible
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un target di montaggio Amazon EFS è associato a una sottorete privata. Il controllo fallisce se la destinazione di montaggio è associata a una sottorete pubblica.
Per impostazione predefinita, un file system è accessibile solo dal cloud privato virtuale (VPC) in cui è stato creato. Consigliamo di creare target di montaggio EFS in sottoreti private non accessibili da Internet. Questo aiuta a garantire che il file system sia accessibile solo agli utenti autorizzati e non sia vulnerabile ad accessi o attacchi non autorizzati.
Correzione
Non è possibile modificare l'associazione tra una destinazione di montaggio EFS e una sottorete dopo aver creato la destinazione di montaggio. Per associare una destinazione di montaggio esistente a una sottorete diversa, è necessario creare una nuova destinazione di montaggio in una sottorete privata e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza nella Amazon Elastic File System User Guide.
[EFS.7] I file system EFS devono avere i backup automatici abilitati
Categoria: Recover > Resilience > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-automatic-backups-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un file system Amazon EFS ha i backup automatici abilitati. Questo controllo fallisce se il file system EFS non ha i backup automatici abilitati.
Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.
Correzione
Per informazioni sull'utilizzo AWS Backup per i file system EFS, consulta Backup up EFS file system nella Amazon Elastic File System User Guide
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::EFS::FileSystem
Regola AWS Config : efs-filesystem-ct-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un file system Amazon EFS crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
Correzione
Per abilitare la crittografia a riposo per un nuovo file system EFS, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.