Controlli del Security Hub per Amazon EFS - AWS Security Hub
[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup[EFS.3] I punti di accesso EFS devono applicare una directory principale[EFS.4] I punti di accesso EFS devono applicare un'identità utente[EFS.5] I punti di accesso EFS devono essere etichettati[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica[EFS.7] I file system EFS devono avere i backup automatici abilitati[EFS.8] I file system EFS devono essere crittografati quando sono inattivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Amazon EFS

Questi controlli Security Hub valutano il servizio e le risorse Amazon Elastic File System (Amazon EFS).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EFS::FileSystem

Regola AWS Config : efs-encrypted-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.

Questo controllo non utilizza il parametro KmsKeyId per efs-encrypted-check. Controlla solo il valore di Encrypted.

Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è necessario creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un file system Amazon EFS. Per ulteriori informazioni sulla crittografia Amazon EFS, consulta la sezione Crittografia dei dati in Amazon EFS nella Amazon Elastic File System User Guide.

Correzione

Per dettagli su come crittografare un nuovo file system Amazon EFS, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.

[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Backup

Gravità: media

Tipo di risorsa: AWS::EFS::FileSystem

Regola AWS Config : efs-in-backup-plan

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i file system Amazon EFS non sono inclusi nei piani di backup.

L'inclusione dei file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.

Correzione

Per abilitare i backup automatici per un file system Amazon EFS esistente, consulta Getting started 4: Create backup automatici di Amazon EFS nella AWS Backup Developer Guide.

[EFS.3] I punti di accesso EFS devono applicare una directory principale

Requisiti correlati: NIST.800-53.r5 AC-6 (10)

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::EFS::AccessPoint

Regola AWS Config : efs-access-point-enforce-root-directory

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare una directory principale. Il controllo fallisce se il valore di Path è impostato su / (la directory principale predefinita del file system).

Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.

Correzione

Per istruzioni su come applicare una directory principale per un punto di accesso Amazon EFS, consulta Implementazione di una directory principale con un punto di accesso nella Amazon Elastic File System User Guide.

[EFS.4] I punti di accesso EFS devono applicare un'identità utente

Requisiti correlati: NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::EFS::AccessPoint

Regola AWS Config : efs-access-point-enforce-user-identity

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare un'identità utente. Questo controllo ha esito negativo se non viene definita un'identità utente POSIX durante la creazione del punto di accesso EFS.

I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un'identità utente, inclusi i gruppi dell'utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.

Correzione

Per applicare un'identità utente per un punto di accesso Amazon EFS, consulta Applica un'identità utente utilizzando un punto di accesso nella Amazon Elastic File System User Guide.

[EFS.5] I punti di accesso EFS devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EFS::AccessPoint

AWS Config regola: tagged-efs-accesspoint (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un punto di accesso Amazon EFS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un punto di accesso EFS, consulta la sezione Tagging delle risorse Amazon EFS nella Amazon Elastic File System User Guide.

[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: media

Tipo di risorsa: AWS::EFS::FileSystem

Regola AWS Config : efs-mount-target-public-accessible

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un target di montaggio Amazon EFS è associato a una sottorete privata. Il controllo fallisce se la destinazione di montaggio è associata a una sottorete pubblica.

Per impostazione predefinita, un file system è accessibile solo dal cloud privato virtuale (VPC) in cui è stato creato. Consigliamo di creare target di montaggio EFS in sottoreti private non accessibili da Internet. Questo aiuta a garantire che il file system sia accessibile solo agli utenti autorizzati e non sia vulnerabile ad accessi o attacchi non autorizzati.

Correzione

Non è possibile modificare l'associazione tra una destinazione di montaggio EFS e una sottorete dopo aver creato la destinazione di montaggio. Per associare una destinazione di montaggio esistente a una sottorete diversa, è necessario creare una nuova destinazione di montaggio in una sottorete privata e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza nella Amazon Elastic File System User Guide.

[EFS.7] I file system EFS devono avere i backup automatici abilitati

Categoria: Recover > Resilience > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::EFS::FileSystem

Regola AWS Config : efs-automatic-backups-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un file system Amazon EFS ha i backup automatici abilitati. Questo controllo fallisce se il file system EFS non ha i backup automatici abilitati.

Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.

Correzione

Per informazioni sull'utilizzo AWS Backup per i file system EFS, consulta Backup up EFS file system nella Amazon Elastic File System User Guide

[EFS.8] I file system EFS devono essere crittografati quando sono inattivi

Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EFS::FileSystem

Regola AWS Config : efs-filesystem-ct-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un file system Amazon EFS crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.

I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

Correzione

Per abilitare la crittografia a riposo per un nuovo file system EFS, consulta Encrypting data at rest nella Amazon Elastic File System User Guide.