View a markdown version of this page

Controlli CSPM del Security Hub per Amazon MQ - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli CSPM del Security Hub per Amazon MQ

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon MQ. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

Requisiti correlati: NIST.800-53.r5 AU-2,, NIST.800-53.r5 AU-3 NIST.800-53.r5 AU-12, PCI DSS NIST.800-53.r5 SI-4 v4.0. 1/103.3.3

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::AmazonMQ::Broker

Regola AWS Config : mq-cloudwatch-audit-log-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un broker Amazon MQ ActiveMQ trasmette i log di audit ad Amazon Logs. CloudWatch Il controllo fallisce se il broker non trasmette i log di audit a Logs. CloudWatch

Pubblicando i log del broker ActiveMQ su Logs CloudWatch , è possibile CloudWatch creare allarmi e metriche che aumentano la visibilità delle informazioni relative alla sicurezza.

Correzione

Per trasmettere i log del broker ActiveMQ CloudWatch a Logs, consulta Configuring Amazon MQ for ActiveMQ logs nella Amazon MQ Developer Guide.

[MQ.4] I broker Amazon MQ devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::AmazonMQ::Broker

AWS Config regola: tagged-amazonmq-broker (regola CSPM Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Description Tipo Valori personalizzati consentiti Valore predefinito CSPM di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole StringList (massimo 6 articoli) 1—6 tasti tag che soddisfano i requisiti AWS . No default value

Questo controllo verifica se un broker Amazon MQ dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il broker non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il broker non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un broker Amazon MQ, consulta Tagging resources nella Amazon MQ Developer Guide.

[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2) NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: bassa

Tipo di risorsa: AWS::AmazonMQ::Broker

Regola AWS Config : mq-active-deployment-mode

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ ActiveMQ è impostata su. active/standby Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).

Active/standby l'implementazione offre un'elevata disponibilità per i broker Amazon MQ ActiveMQ in un. Regione AWS La modalità active/standby di implementazione include due istanze di broker in due diverse zone di disponibilità, configurate in una coppia ridondante. Questi broker comunicano in modo sincrono con l'applicazione, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.

Correzione

Per creare un nuovo broker ActiveMQ active/standby con modalità di distribuzione, consulta Creazione e configurazione di un broker ActiveMQ nella Amazon MQ Developer Guide. Per la modalità di distribuzione, scegli broker. Active/standby Non puoi modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.

[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6 (2) NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), (5 NIST.800-53.r5 SI-13

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: bassa

Tipo di risorsa: AWS::AmazonMQ::Broker

Regola AWS Config : mq-rabbit-deployment-mode

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ RabbitMQ è impostata sulla distribuzione in cluster. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).

La distribuzione in cluster offre un'elevata disponibilità per i broker Amazon MQ RabbitMQ in un unico. Regione AWS L'implementazione del cluster è un raggruppamento logico di tre nodi broker RabbitMQ, ciascuno con il proprio volume Amazon Elastic Block Store (Amazon EBS) e uno stato condiviso. L'implementazione del cluster garantisce la replica dei dati su tutti i nodi del cluster, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.

Correzione

Per creare un nuovo broker RabbitMQ con modalità di distribuzione cluster, consulta Creazione e connessione a un broker RabbitMQ nella Amazon MQ Developer Guide. Per la modalità di distribuzione, scegli Distribuzione in cluster. Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.