Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon MQ
Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon MQ.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
Requisiti correlati: NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-12, .800-53.r5 SI-4 NIST NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::AmazonMQ::Broker
AWS Config regola: mq-cloudwatch-audit-log-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un broker Amazon MQ ActiveMQ trasmette i log di audit ad Amazon Logs. CloudWatch Il controllo fallisce se il broker non trasmette i log di audit a Logs. CloudWatch
Pubblicando i log del broker ActiveMQ su Logs CloudWatch , è possibile CloudWatch creare allarmi e metriche che aumentano la visibilità delle informazioni relative alla sicurezza.
Correzione
Per trasmettere i log del broker ActiveMQ CloudWatch a Logs, consulta Configuring Amazon MQ for ActiveMQ logs nella Amazon MQ Developer Guide.
[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie
Requisiti correlati: NIST .800-53.r5 CM-3, .800-53.r5 SI-2 NIST
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: bassa
Tipo di risorsa: AWS::AmazonMQ::Broker
AWS Config regola: mq-auto-minor-version-upgrade-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un broker Amazon MQ ha abilitato l'aggiornamento automatico delle versioni secondarie. Il controllo fallisce se il broker non ha abilitato l'aggiornamento automatico della versione secondaria.
Man mano che Amazon MQ rilascia e supporta nuove versioni del motore di brokeraggio, le modifiche sono retrocompatibili con un'applicazione esistente e non compromettono le funzionalità esistenti. Gli aggiornamenti automatici delle versioni del motore di brokeraggio ti proteggono dai rischi per la sicurezza, aiutano a correggere i bug e a migliorare la funzionalità.
Nota
Quando il broker associato all'aggiornamento automatico delle versioni secondarie utilizza la patch più recente e non è più supportato, è necessario eseguire l'aggiornamento manualmente.
Correzione
Per abilitare l'aggiornamento automatico della versione secondaria per un broker MQ, consulta Aggiornamento automatico della versione secondaria del motore nella Amazon MQ Developer Guide.
[MQ.4] I broker Amazon MQ devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::AmazonMQ::Broker
AWS Config regola: tagged-amazonmq-broker (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un broker Amazon MQ dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il broker non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il broker non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un broker Amazon MQ, consulta Tagging resources nella Amazon MQ Developer Guide.
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: bassa
Tipo di risorsa: AWS::AmazonMQ::Broker
AWS Config regola: mq-active-deployment-mode
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ ActiveMQ è impostata su active/standby. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).
La distribuzione attiva/standby offre un'elevata disponibilità per i broker Amazon MQ ActiveMQ in un Regione AWS. La modalità di distribuzione attiva/standby include due istanze di broker in due diverse zone di disponibilità, configurate in una coppia ridondante. Questi broker comunicano in modo sincrono con l'applicazione, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.
Correzione
Per creare un nuovo broker ActiveMQ con modalità di distribuzione attiva/standby, consulta Creazione e configurazione di un broker ActiveMQ nella Amazon MQ Developer Guide. Per la modalità di distribuzione, scegli il broker Active/standby. Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5 NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: bassa
Tipo di risorsa: AWS::AmazonMQ::Broker
AWS Config regola: mq-rabbit-deployment-mode
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ RabbitMQ è impostata sulla distribuzione in cluster. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).
La distribuzione in cluster offre un'elevata disponibilità per i broker Amazon MQ RabbitMQ in un Regione AWS. L'implementazione del cluster è un raggruppamento logico di tre nodi broker RabbitMQ, ciascuno con il proprio volume Amazon Elastic Block Store (AmazonEBS) e uno stato condiviso. L'implementazione del cluster garantisce la replica dei dati su tutti i nodi del cluster, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.
Correzione
Per creare un nuovo broker RabbitMQ con modalità di distribuzione cluster, consulta Creazione e connessione a un broker RabbitMQ nella Amazon MQ Developer Guide. Per la modalità di distribuzione, scegli Distribuzione in cluster. Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.
