翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EFS の Security Hub コントロール
これらの Security Hub コントロールは、Amazon Elastic File System (Amazon EFS) サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS
関連する要件: CIS AWS Foundations Benchmark v3.0.0/2.4.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::EFS::FileSystem
AWS Config ルール : efs-encrypted-check
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon Elastic File System が を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。次の場合、チェックは失敗します。
-
DescribeFileSystems
レスポンスでEncrypted
は、false
に設定されている。 -
DescribeFileSystems
レスポンスのKmsKeyId
キーがefs-encrypted-check
のKmsKeyId
パラメータと一致しない。
このコントロールでは、efs-encrypted-check
の KmsKeyId
パラメータを使用しないことに注意してください。Encrypted
の値のみをチェックします。
Amazon EFS で機密データのセキュリティを強化するには、暗号化されたファイルシステムを作成する必要があります。Amazon EFS は保管時のファイルシステムの暗号化をサポートします。Amazon EFS ファイルシステムを作成する場合、保管中のデータの暗号化を有効にすることができます。Amazon EFS 暗号化の詳細については、「Amazon Elastic File System ユーザーガイド」の「Amazon EFS でのデータ暗号化」を参照してください。
修正
新しい Amazon EFS ファイルシステムを暗号化する方法の詳細については、「Amazon Elastic File System ユーザーガイド」の「保管中のデータの暗号化」を参照してください。
[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > バックアップ
重要度: 中
リソースタイプ : AWS::EFS::FileSystem
AWS Config ルール : efs-in-backup-plan
スケジュールタイプ: 定期的
パラメータ: なし
このコントロールは、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backupのバックアッププランに追加されているかどうかをチェックします。Amazon EFS ファイルシステムがバックアッププランに含まれていない場合、コントロールは失敗します。
バックアッププランに EFS ファイルシステムを組み込むと、データの削除やデータの損失からデータを保護できます。
修正
既存の Amazon EFS ファイルシステムの自動バックアップを有効にするには、AWS Backup デベロッパーガイドの「開始方法 4: Amazon EFS 自動バックアップの作成」を参照してください。
[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります
関連する要件: NIST.800-53.r5 AC-6(10)
カテゴリ: 保護 > セキュアなアクセス管理
重要度: 中
リソースタイプ : AWS::EFS::AccessPoint
AWS Config ルール : efs-access-point-enforce-root-directory
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EFS アクセスポイントが、ルートディレクトリを適用するように設定されているかどうかをチェックします。Path
の値が /
(ファイルシステムのデフォルトのルートディレクトリ) に設定されていると、このコントロールは失敗します。
ルートディレクトリを適用すると、アクセスポイントを使用する NFS クライアントは、ファイルシステムのルートディレクトリではなく、アクセスポイントに設定されているルートディレクトリを使用します。アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。
修正
EFS アクセスポイントのルートディレクトリを適用する方法については、Amazon Elastic File System ユーザーガイドの「アクセスポイントでルートディレクトリを適用する」を参照してください。
[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります
関連する要件: NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1
カテゴリ: 保護 > セキュアなアクセス管理
重要度: 中
リソースタイプ : AWS::EFS::AccessPoint
AWS Config ルール : efs-access-point-enforce-user-identity
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EFS アクセスポイントが、ユーザーアイデンティティを適用するように設定されているかどうかをチェックします。EFS アクセスポイントの作成中に POSIX ユーザー ID が定義されていない場合、このコントロールは失敗します。
Amazon EFS アクセスポイントは、EFS ファイルシステムへのアプリケーション固有のエントリポイントです。これにより、共有データセットへのアプリケーションアクセスが管理しやすくなります。アクセスポイントを使用すると、アクセスポイントを介したすべてのファイルシステム要求に対してユーザーアイデンティティ (ユーザーの POSIX グループなど) を適用できます。また、ファイルシステムに対して別のルートディレクトリを適用し、このディレクトリまたはそのサブディレクトリ内のデータに対してのみ、クライアントにアクセスを許可することもできます。
修正
Amazon EFS アクセスポイントのユーザーアイデンティティを適用する方法については、Amazon Elastic File System ユーザーガイドの「アクセスポイントを使用したユーザ ID の適用」を参照してください。
[EFS .5] EFS アクセスポイントにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EFS::AccessPoint
AWS Configルール: tagged-efs-accesspoint
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EFS アクセスポイントにパラメータ requiredTagKeys
で定義された特定のキーを持つタグがあるかどうかをチェックします。アクセスポイントにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクセスポイントにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EFS アクセスポイントにタグを追加するには、「Amazon Elastic File System ユーザーガイド」の「Amazon EFS リソースのタグ付け」を参照してください。
[EFS .6] EFS マウントターゲットはパブリックサブネットに関連付けしないでください
カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
重要度: 中
リソースタイプ : AWS::EFS::FileSystem
AWS Config ルール : efs-mount-target-public-accessible
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon EFS マウントターゲットがプライベートサブネットに関連付けられているかどうかを確認します。マウントターゲットがパブリックサブネットに関連付けられている場合、コントロールは失敗します。
デフォルトでは、ファイルシステムは、作成した仮想プライベートクラウド (VPC) からのみアクセスできます。インターネットからアクセスできないプライベートサブネットに EFS マウントターゲットを作成することをお勧めします。これにより、ファイルシステムへのアクセスが許可されたユーザーのみに限定され、不正なアクセスや攻撃に対して脆弱になることはありません。
修正
マウントターゲットの作成後にEFS マウントターゲットとサブネットの関連付けを変更することはできません。既存のマウントターゲットを別のサブネットに関連付けるには、プライベートサブネットに新しいマウントターゲットを作成し、古いマウントターゲットを削除する必要があります。マウントターゲットの管理については、「Amazon Elastic File System ユーザーガイド」の「マウントターゲットとセキュリティグループの作成と管理」を参照してください。
[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
重要度: 中
リソースタイプ : AWS::EFS::FileSystem
AWS Config ルール : efs-automatic-backups-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EFS ファイルシステムに自動バックアップが有効になっているかどうかを確認します。EFS ファイルシステムに自動バックアップが有効になっていない場合、このコントロールは失敗します。
データバックアップは、システム、設定、またはアプリケーションデータのコピーであり、元のデータとは別に保存されます。定期的なバックアップを有効にすると、システム障害、サイバー攻撃、偶発的な削除などの予期しないイベントから貴重なデータを保護することができます。堅牢なバックアップ戦略を持つことで、データ損失の可能性に直面しても、より迅速な復旧、事業継続性、安心感が得られます。
修正
AWS Backup EFS ファイルシステムに を使用する方法については、「Amazon Elastic File System ユーザーガイド」のEFS ファイルシステムのバックアップ」を参照してください。 Amazon Elastic File System
[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::EFS::FileSystem
AWS Config ルール : efs-filesystem-ct-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EFS ファイルシステムが AWS Key Management Service () でデータを暗号化しているかどうかをチェックしますAWS KMS。ファイルシステムが暗号化されていない場合、コントロールは失敗します。
保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。
修正
新しい EFS ファイルシステムの保管中の暗号化を有効にするには、「Amazon Elastic File System ユーザーガイド」の「保管中のデータの暗号化」を参照してください。