翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transfer Family の Security Hub コントロール

これらの AWS Security Hub コントロールは、 AWS Transfer Family サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Transfer::Workflow

AWS Config ルール: tagged-transfer-workflow (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、 AWS Transfer Family ワークフローにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ワークフローにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークフローにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

関連する要件： NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5、 NIST.800-53.r5 SC-8、PCIDSSv4.0.1/4.2.1

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::Transfer::Server

AWS Config ルール : transfer-family-server-no-ftp

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 AWS Transfer Family サーバーがエンドポイント接続FTPに 以外のプロトコルを使用しているかどうかをチェックします。サーバーがクライアントにFTPプロトコルを使用してサーバーのエンドポイントに接続すると、コントロールは失敗します。

FTP (ファイル転送プロトコル) は、暗号化されていないチャネルを介してエンドポイント接続を確立し、これらのチャネルを介して送信されるデータを傍受に対して脆弱な状態にします。SFTP (SSHファイル転送プロトコル）FTPS、 (ファイル転送プロトコルセキュア）、または AS2 (適用性ステートメント 2) を使用すると、転送中のデータを暗号化することでセキュリティを強化できます。また、潜在的な攻撃者がネットワークトラフィックを盗聴または操作するために または同様の攻撃を使用すること person-in-the-middleを防ぐのに役立ちます。

修正

Transfer Family サーバーのプロトコルを変更するには、「AWS Transfer Family ユーザーガイド」の「ファイル転送プロトコルの編集」を参照してください。