Amazon の Security Hub コントロール EFS - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール EFS

これらの Security Hub コントロールは、Amazon Elastic File System (Amazon EFS) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

関連する要件: CIS AWS Foundations Benchmark v3.0.0/2.4.1、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::EFS::FileSystem

AWS Config ルール : efs-encrypted-check

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic File System が を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。次の場合、チェックは失敗します。

このコントロールでは、efs-encrypted-checkKmsKeyId パラメータを使用しないことに注意してください。Encrypted の値のみをチェックします。

Amazon の機密データのセキュリティを強化するにはEFS、暗号化されたファイルシステムを作成する必要があります。Amazon は、保管中のファイルシステムの暗号化EFSをサポートしています。Amazon EFS ファイルシステムを作成するときに、保管中のデータの暗号化を有効にできます。Amazon EFS暗号化の詳細については、「Amazon Elastic File System ユーザーガイド」の「Amazon でのデータ暗号化EFS」を参照してください。 Amazon Elastic File System

修正

新しい Amazon EFS ファイルシステムを暗号化する方法の詳細については、「Amazon Amazon Elastic File System ユーザーガイド」の「保管中のデータの暗号化」を参照してください。

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13 (5)

カテゴリ: リカバリ > 耐障害性 > バックアップ

重要度:

リソースタイプ : AWS::EFS::FileSystem

AWS Config ルール : efs-in-backup-plan

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic File System (Amazon EFS) ファイルシステムが のバックアッププランに追加されているかどうかを確認します AWS Backup。Amazon EFS ファイルシステムがバックアッププランに含まれていない場合、コントロールは失敗します。

バックアッププランにEFSファイルシステムを含めると、データの削除やデータ損失からデータを保護するのに役立ちます。

修正

既存の Amazon EFS ファイルシステムの自動バックアップを有効にするには、「 AWS Backup デベロッパーガイド」の「開始方法 4: Amazon EFS 自動バックアップの作成」を参照してください。

〔EFS.3] EFSアクセスポイントはルートディレクトリを適用する必要があります

関連する要件: NIST.800-53.r5 AC-6 (10)

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::EFS::AccessPoint

AWS Config ルール : efs-access-point-enforce-root-directory

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EFS アクセスポイントがルートディレクトリを適用するように設定されているかどうかを確認します。Path の値が / (ファイルシステムのデフォルトのルートディレクトリ) に設定されていると、このコントロールは失敗します。

ルートディレクトリを適用すると、アクセスポイントを使用するNFSクライアントは、ファイルシステムのルートディレクトリではなく、アクセスポイントで設定されたルートディレクトリを使用します。アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。

修正

Amazon EFSアクセスポイントのルートディレクトリを適用する方法については、「Amazon Amazon Elastic File System ユーザーガイド」の「アクセスポイントを使用したルートディレクトリの強制」を参照してください。

〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります

関連する要件: NIST.800-53.r5 AC-6 (2)PCIDSS、v4.0.1/7.3.1

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::EFS::AccessPoint

AWS Config ルール : efs-access-point-enforce-user-identity

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EFS アクセスポイントがユーザー ID を適用するように設定されているかどうかをチェックします。EFS アクセスポイントの作成中にPOSIXユーザー ID が定義されていない場合、このコントロールは失敗します。

Amazon EFS アクセスポイントは、共有データセットへのアプリケーションアクセスの管理を容易にする、EFSファイルシステムへのアプリケーション固有のエントリポイントです。アクセスポイントは、アクセスポイントを介して行われたすべてのファイルシステムリクエストに対して、ユーザーのPOSIXグループを含むユーザー ID を適用できます。また、ファイルシステムに対して別のルートディレクトリを適用し、このディレクトリまたはそのサブディレクトリ内のデータに対してのみ、クライアントにアクセスを許可することもできます。

修正

Amazon EFSアクセスポイントにユーザー ID を適用するには、Amazon Elastic File System Elastic File System ユーザーガイド」の「アクセスポイントを使用したユーザー ID の適用」を参照してください。

〔EFS.5] EFSアクセスポイントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EFS::AccessPoint

AWS Configルール: tagged-efs-accesspoint (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EFSアクセスポイントにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。アクセスポイントにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクセスポイントにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EFS アクセスポイントにタグを追加するには、「Amazon Elastic File System ユーザーガイド」の「Amazon EFSリソースのタグ付け」を参照してください。 Amazon Elastic File System

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けることはできません

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度:

リソースタイプ : AWS::EFS::FileSystem

AWS Config ルール : efs-mount-target-public-accessible

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EFSマウントターゲットがプライベートサブネットに関連付けられているかどうかをチェックします。マウントターゲットがパブリックサブネットに関連付けられている場合、コントロールは失敗します。

デフォルトでは、 ファイルシステムは、それを作成した仮想プライベートクラウド (VPC) からのみアクセスできます。インターネットからアクセスできないプライベートサブネットにEFSマウントターゲットを作成することをお勧めします。これにより、ファイルシステムへのアクセスが許可されたユーザーのみに限定され、不正なアクセスや攻撃に対して脆弱になることはありません。

修正

EFS マウントターゲットの作成後にマウントターゲットとサブネットの関連付けを変更することはできません。既存のマウントターゲットを別のサブネットに関連付けるには、プライベートサブネットに新しいマウントターゲットを作成し、古いマウントターゲットを削除する必要があります。マウントターゲットの管理については、「Amazon Elastic File System ユーザーガイド」の「マウントターゲットとセキュリティグループの作成と管理」を参照してください。

〔EFS.7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ : AWS::EFS::FileSystem

AWS Config ルール : efs-automatic-backups-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EFS ファイルシステムで自動バックアップが有効になっているかどうかをチェックします。EFS ファイルシステムで自動バックアップが有効になっていない場合、このコントロールは失敗します。

データバックアップは、システム、設定、またはアプリケーションデータのコピーであり、元のデータとは別に保存されます。定期的なバックアップを有効にすると、システム障害、サイバー攻撃、偶発的な削除などの予期しないイベントから貴重なデータを保護することができます。堅牢なバックアップ戦略を持つことで、データ損失の可能性に直面しても、より迅速な復旧、事業継続性、安心感が得られます。

修正

AWS Backup EFS ファイルシステムに を使用する方法については、「Amazon Elastic File System ユーザーガイド」のEFS「ファイルシステムのバックアップ」を参照してください。 Amazon Elastic File System

〔EFS.8] EFS ファイルシステムは保管時に暗号化する必要があります

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::EFS::FileSystem

AWS Config ルール : efs-filesystem-ct-encrypted

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

kmsKeyArns

の Amazon リソースネーム (ARNs) のカンマ区切りリスト AWS KMS keys。指定した場合、コントロールは、EFSファイルシステムが指定されたKMSキーで暗号化されている場合にのみPASSED結果を生成します。

StringList

有効なKMSキー ARNs

デフォルト値なし

このコントロールは、Amazon EFS ファイルシステムが AWS Key Management Service () でデータを暗号化しているかどうかをチェックしますAWS KMS。ファイルシステムが暗号化されていない場合、コントロールは失敗します。オプションで、 kmsKeyArnsパラメータを含めて、ファイルシステムが指定されたKMSキーで暗号化されているかどうかを確認できます。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

修正

新しいEFSファイルシステムの保管時の暗号化を有効にするには、Amazon Elastic File System ユーザーガイド」の「保管中のデータの暗号化」を参照してください。