Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Elastic Load Balancing

Questi controlli sono correlati alle risorse Elastic Load Balancing.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS

Requisiti correlati: PCI DSS versione 3.2.1/2.3, PCI DSS versione 3.2.1/4.1, NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 5 SC-23, NIST.800-53.r5 SC-23 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SI-7 (6)

Categoria: Rilevamento > Servizi di rilevamento

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-http-to-https-redirection-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se il reindirizzamento da HTTP a HTTPS è configurato su tutti i listener HTTP di Application Load Balancers. Il controllo ha esito negativo se per uno dei listener HTTP di Application Load Balancers non è configurato il reindirizzamento da HTTP a HTTPS.

Prima di iniziare a utilizzare Application Load Balancer, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener supportano entrambi i protocolli HTTP e HTTPS. È possibile utilizzare un listener HTTPS per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico. Per applicare la crittografia in transito, è necessario utilizzare le azioni di reindirizzamento con Application Load Balancers per reindirizzare le richieste HTTP dei client a una richiesta HTTPS sulla porta 443.

Per ulteriori informazioni, consulta Listeners for your Application Load Balancers nella User Guide for Application Load Balancers.

Correzione

Per reindirizzare le richieste HTTP su HTTPS, è necessario aggiungere una regola listener Application Load Balancer o modificare una regola esistente.

Per istruzioni sull'aggiunta di una nuova regola, consulta Aggiungere una regola nella Guida utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 Per Aggiungi azione, Reindirizza a, scegli HTTPS, quindi inserisci443.

Per istruzioni sulla modifica di una regola esistente, consulta Modificare una regola nella Guida utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 Per Aggiungi azione, Reindirizza a, scegli HTTPS, quindi inserisci443.

[ELB.2] I sistemi Classic Load Balancer con listener SSL/HTTPS devono utilizzare un certificato fornito da AWS Certificate Manager

Requisiti correlati: NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23 (5), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-acm-certificate-required

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il Classic Load Balancer utilizza i certificati HTTPS/SSL forniti da (ACM). AWS Certificate Manager Il controllo ha esito negativo se il listener Classic Load Balancer configurato con HTTPS/SSL non utilizza un certificato fornito da ACM.

Per creare un certificato, puoi utilizzare ACM o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Security Hub consiglia di utilizzare ACM per creare o importare certificati per il sistema di bilanciamento del carico.

ACM si integra con Classic Load Balancers in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. È inoltre necessario rinnovare automaticamente questi certificati.

Correzione

Per informazioni su come associare un certificato ACM SSL/TLS a un Classic Load Balancer, consulta l'articolo del AWS Knowledge Center Come posso associare un certificato ACM SSL/TLS a un Classic, Application o Network Load Balancer?

[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS

Requisiti correlati: NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-tls-https-listeners-only

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i listener Classic Load Balancer sono configurati con il protocollo HTTPS o TLS per le connessioni front-end (da client a load balancer). Il controllo è applicabile se un Classic Load Balancer dispone di ascoltatori. Se il Classic Load Balancer non dispone di un listener configurato, il controllo non riporta alcun risultato.

Il controllo passa se i listener Classic Load Balancer sono configurati con TLS o HTTPS per le connessioni front-end.

Il controllo fallisce se il listener non è configurato con TLS o HTTPS per le connessioni front-end.

Prima di iniziare a utilizzare un sistema di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener possono supportare sia i protocolli HTTP che HTTPS/TLS. È necessario utilizzare sempre un listener HTTPS o TLS, in modo che il load balancer esegua il lavoro di crittografia e decrittografia in transito.

Correzione

Per risolvere questo problema, aggiorna i listener in modo che utilizzino il protocollo TLS o HTTPS.

[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http

Requisiti correlati: NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2)

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-http-drop-invalid-header-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo valuta gli AWS Application Load Balancer per garantire che siano configurati per eliminare le intestazioni HTTP non valide. Il controllo ha esito negativo se il valore di è impostato su. routing.http.drop_invalid_header_fields.enabled false

Per impostazione predefinita, gli Application Load Balancer non sono configurati per eliminare valori di intestazione HTTP non validi. La rimozione di questi valori di intestazione impedisce gli attacchi di desincronizzazione HTTP.

Nota che puoi disabilitare questo controllo se ELB.12 è abilitato.

Correzione

Per risolvere questo problema, configura il sistema di bilanciamento del carico in modo da eliminare i campi di intestazione non validi.

[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata

Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 R5 CA-7, NIST. 800-53.R5 SC-7 (9), NIST. 800-53.5 SI-7 (8)

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa:AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elb-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'Application Load Balancer e il Classic Load Balancer hanno la registrazione abilitata. Se lo è, il controllo fallisce. access_logs.s3.enabled false

Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare.

Per ulteriori informazioni, consulta i registri di accesso per il tuo Classic Load Balancer nella Guida per l'utente dei Classic Load Balancer.

Correzione

Per abilitare i log di accesso, consulta la Fase 3: Configurazione dei log di accesso nella Guida utente per Application Load Balancers.

[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elb-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'applicazione, un gateway o un Network Load Balancer ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se la protezione da eliminazione è disattivata.

Abilita la protezione dall'eliminazione per proteggere l'applicazione, il gateway o il Network Load Balancer dall'eliminazione.

Correzione

Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, è possibile abilitare la protezione da eliminazione. Per impostazione predefinita, la protezione da eliminazioni è disabilitata nel sistema di bilanciamento del carico.

Se si abilita la protezione da eliminazione per il sistema di bilanciamento del carico, è necessario disabilitare la protezione da eliminazione prima di poter eliminare il sistema di bilanciamento del carico.

Per abilitare la protezione da eliminazione per un Application Load Balancer, vedere Protezione da eliminazione nella User Guide for Application Load Balancer. Per abilitare la protezione da eliminazione per un Gateway Load Balancer, vedere Protezione da eliminazione nella Guida utente di Gateway Load Balancer. Per abilitare la protezione da eliminazione per un Network Load Balancer, vedere Protezione da eliminazione nella Guida dell'utente per Network Load Balancer.

[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Recupero > Resilienza

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regola: elb-connection-draining-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i Classic Load Balancer hanno abilitato il drenaggio della connessione.

L'abilitazione del drenaggio della connessione sui Classic Load Balancer garantisce che il sistema di bilanciamento del carico interrompa l'invio di richieste alle istanze che non registrano alcuna registrazione o non sono integre. Mantiene aperte le connessioni esistenti. Ciò è particolarmente utile per le istanze nei gruppi di Auto Scaling, per garantire che le connessioni non vengano interrotte bruscamente.

Correzione

Per abilitare il drenaggio della connessione sui Classic Load Balancer, consulta Configurare il drenaggio della connessione per Classic Load Balancer nella Guida dell'utente per Classic Load Balancer.

[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

Requisiti correlati: NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-predefined-security-policy-ssl-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se i listener HTTPS/SSL di Classic Load Balancer utilizzano la policy predefinita. ELBSecurityPolicy-TLS-1-2-2017-01 Il controllo fallisce se i listener HTTPS/SSL di Classic Load Balancer non lo utilizzano. ELBSecurityPolicy-TLS-1-2-2017-01

Una politica di sicurezza è una combinazione di protocolli SSL, cifrari e l'opzione Server Order Preference. Le politiche predefinite controllano i codici, i protocolli e gli ordini di preferenza da supportare durante le negoziazioni SSL tra un client e un sistema di bilanciamento del carico.

L'utilizzo ELBSecurityPolicy-TLS-1-2-2017-01 può aiutarti a soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di versioni specifiche di SSL e TLS. Per ulteriori informazioni, consulta Policy di sicurezza SSL predefinite per Classic Load Balancers nella Guida per l'utente di Classic Load Balancers.

Correzione

Per informazioni su come utilizzare la politica di sicurezza predefinita ELBSecurityPolicy-TLS-1-2-2017-01 con un Classic Load Balancer, consulta Configure security settings in User Guide for Classic Load Balancer.

[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-cross-zone-load-balancing-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il bilanciamento del carico tra zone è abilitato per i Classic Load Balancer (CLB). Il controllo fallisce se il bilanciamento del carico tra zone non è abilitato per un CLB.

Un nodo di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il bilanciamento del carico tra zone è disabilitato, ogni nodo del sistema di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il numero di destinazioni registrate non è lo stesso nelle zone di disponibilità, il traffico non verrà distribuito in modo uniforme e le istanze in una zona potrebbero finire per essere utilizzate in modo eccessivo rispetto alle istanze in un'altra zona. Con il bilanciamento del carico tra zone abilitato, ogni nodo di load balancer per Classic Load Balancer distribuisce le richieste in modo uniforme tra le istanze registrate in tutte le zone di disponibilità abilitate. Per i dettagli, consulta il bilanciamento del carico tra zone nella Elastic Load Balancing User Guide.

Correzione

Per abilitare il bilanciamento del carico tra zone in un Classic Load Balancer, consulta Abilita il bilanciamento del carico tra zone nella Guida utente per Classic Load Balancer.

[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : clb-multiple-az

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Classic Load Balancer è stato configurato per coprire almeno il numero specificato di zone di disponibilità (AZ). Il controllo fallisce se il Classic Load Balancer non copre almeno il numero specificato di AZ. A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZ, Security Hub utilizza un valore predefinito di due AZ.

È possibile configurare un Classic Load Balancer per distribuire le richieste in entrata tra le istanze Amazon EC2 in una singola zona di disponibilità o più zone di disponibilità. Un Classic Load Balancer che non si estende su più zone di disponibilità non è in grado di reindirizzare il traffico verso destinazioni in un'altra zona di disponibilità se l'unica zona di disponibilità configurata non è disponibile.

Correzione

Per aggiungere zone di disponibilità a un Classic Load Balancer, consulta Aggiungere o rimuovere sottoreti per il Classic Load Balancer nella Guida utente per Classic Load Balancer.

[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Protezione > Protezione dei dati > Integrità dei dati

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-desync-mode-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Application Load Balancer è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. Il controllo fallisce se un Application Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda di richieste o della cache. A loro volta, queste vulnerabilità possono portare al furto di credenziali o all'esecuzione di comandi non autorizzati. Gli Application Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync.

Correzione

Per aggiornare la modalità di mitigazione della desincronizzazione di un Application Load Balancer, consulta la modalità di mitigazione Desync nella User Guide for Application Load Balancers.

[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elbv2-multiple-az

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Elastic Load Balancer V2 (Application, Network o Gateway Load Balancer) ha registrato istanze da almeno il numero specificato di zone di disponibilità (AZ). Il controllo fallisce se un Elastic Load Balancer V2 non ha istanze registrate almeno nel numero specificato di AZ. A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZ, Security Hub utilizza un valore predefinito di due AZ.

Il servizio Elastic Load Balancing distribuisce automaticamente il traffico in ingresso su più destinazioni, ad esempio istanze EC2, container e indirizzi IP, in una o più zone di disponibilità. Elastic Load Balancing ridimensiona il load balancer di volta in volta, in quanto il traffico in ingresso varia nel corso del tempo. Si consiglia di configurare almeno due zone di disponibilità per garantire la disponibilità dei servizi, poiché Elastic Load Balancer sarà in grado di indirizzare il traffico verso un'altra zona di disponibilità se una non è disponibile. La configurazione di più zone di disponibilità contribuirà a eliminare la presenza di un unico punto di errore per l'applicazione.

Correzione

Per aggiungere una zona di disponibilità a un Application Load Balancer, consulta Availability Zones for your Application Load Balancer nella User Guide for Application Load Balancer. Per aggiungere una zona di disponibilità a un Network Load Balancer, consulta Network Load Balancer nella User Guide for Network Load Balancer. Per aggiungere una zona di disponibilità a un Gateway Load Balancer, vedere Create a Gateway Load Balancer nella Guida utente per Gateway Load Balancer.

[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Protezione > Protezione dei dati > Integrità dei dati

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : clb-desync-mode-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Classic Load Balancer è configurato con la modalità difensiva o la più rigorosa di mitigazione della desincronizzazione. Il controllo fallisce se il Classic Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda delle richieste o della cache. A loro volta, queste vulnerabilità possono portare al dirottamento delle credenziali o all'esecuzione di comandi non autorizzati. I Classic Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync.

Correzione

Per aggiornare la modalità di mitigazione della desincronizzazione su un Classic Load Balancer, consulta Modify desync mitigation mode nella User Guide for Classic Load Balancer.

[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Servizi di protezione

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-waf-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Application Load Balancer è associato a una lista di controllo degli accessi AWS WAF classica o AWS WAF Web (Web ACL). Il controllo fallisce se il Enabled campo per la AWS WAF configurazione è impostato su. false

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e le API dagli attacchi. Con AWS WAF, puoi configurare un ACL Web, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Ti consigliamo di associare l'Application Load Balancer a AWS WAF un ACL Web per proteggerlo da attacchi dannosi.

Correzione

Per associare un Application Load Balancer a un ACL Web, consulta Associating or dissociating a Web ACL con una risorsa nella Developer Guide. AWS AWS WAF