Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon EFS
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic File System (Amazon EFS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), 3, 8 (1), 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.
+ `Encrypted` è impostato su `false` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La chiave `KmsKeyId` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) non corrisponde al parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Questo controllo non utilizza il parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Controlla solo il valore di `Encrypted`.
Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è necessario creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un file system Amazon EFS. Per ulteriori informazioni sulla crittografia Amazon EFS, consulta la sezione [Crittografia dei dati in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) nella *Amazon Elastic File System User Guide*.
### Correzione
Per dettagli su come crittografare un nuovo file system Amazon EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User* Guide.
## [EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recupero > Resilienza > Backup
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i file system Amazon EFS non sono inclusi nei piani di backup.
L'inclusione dei file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.
### Correzione
Per abilitare i backup automatici per un file system Amazon EFS esistente, consulta [Getting started 4: Create backup automatici di Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) nella *AWS Backup Developer* Guide.
## [EFS.3] I punti di accesso EFS devono applicare una directory principale
**Requisiti correlati:** NIST.800-53.r5 AC-6 (10)
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare una directory principale. Il controllo fallisce se il valore di `Path` è impostato su `/` (la directory principale predefinita del file system).
Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.
### Correzione
Per istruzioni su come applicare una directory principale per un punto di accesso Amazon EFS, consulta Implementazione di [una directory principale con un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) nella *Amazon Elastic File System User* Guide.
## [EFS.4] I punti di accesso EFS devono applicare un'identità utente
**Requisiti correlati:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare un'identità utente. Questo controllo ha esito negativo se non viene definita un'identità utente POSIX durante la creazione del punto di accesso EFS.
I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un’identità utente, inclusi i gruppi dell’utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.
### Correzione
Per applicare un'identità utente per un punto di accesso Amazon EFS, consulta [Applica un'identità utente utilizzando un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) nella *Amazon Elastic File System User* Guide.
## [EFS.5] I punti di accesso EFS devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**AWS Config regola:** `tagged-efs-accesspoint` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un punto di accesso Amazon EFS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un punto di accesso EFS, consulta la sezione [Tagging delle risorse Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) nella *Amazon Elastic File System User Guide*.
## [EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio
**Categoria:** Protezione > Sicurezza della rete > Risorse non accessibili al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un target di montaggio Amazon EFS è associato a sottoreti che assegnano indirizzi IP pubblici all'avvio. Il controllo fallisce se la destinazione di montaggio è associata a sottoreti che assegnano indirizzi IP pubblici all'avvio.
Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su `TRUE` per le sottoreti predefinite e `FALSE` per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). `TRUE` Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. `FALSE` Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale. Gli obiettivi di montaggio di Amazon EFS che vengono lanciati in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
### Correzione
Per associare una destinazione di montaggio esistente a una sottorete diversa, devi creare una nuova destinazione di montaggio in una sottorete che non assegni indirizzi IP pubblici all'avvio e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta [Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) nella *Amazon Elastic File System User Guide*.
## [EFS.7] I file system EFS devono avere i backup automatici abilitati
**Categoria:** Recover > Resilience > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon EFS ha i backup automatici abilitati. Questo controllo fallisce se il file system EFS non ha i backup automatici abilitati.
Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.
### Correzione
Per informazioni sull'utilizzo AWS Backup per i file system EFS, consulta [Backup up EFS file system](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) nella *Amazon Elastic File System User Guide*.
## [EFS.8] I file system EFS devono essere crittografati quando sono inattivi
**Requisiti correlati:** CIS Foundations Benchmark AWS v5.0.0/2.3.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon EFS crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per abilitare la crittografia a riposo per un nuovo file system EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User Guide*.