As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Outros controles do Security Hub no Accelerate
Os controles de compensação a seguir estão disponíveis no Accelerate.
Tópicos
Lambda.3 - As funções Lambda devem estar em uma VPC
Recursos:
AMSAlarmManagerDeploymentHandler
AMSAlarmManagerOrphanedAlarmCleanup
AMSAlarmManagerRemediation
AMSAlarmManagerReporting
AMSAlarmManagerTriggerEvaluation
AMSAlarmManagerValidation
AMSConfigExtensionDeploymentHandler
AMSConfigFSXExtension
AMSConfigOutpostExtension
AMSConfigSyntheticCanaryExtension
As AWS Lambda funções implantadas pelo AMS não se comunicam com os recursos em suas contas. Portanto, eles não exigem interfaces de rede elástica (ENIs) dedicadas ou posicionamento de VPC. A implantação dessas funções fora de uma VPC reduz os custos e melhora a velocidade de implantação. Essa abordagem não introduz nenhuma preocupação de segurança na comunicação entre recursos. Como essas funções Lambda operam de forma independente e não acessam recursos baseados em VPC, a implantação de VPC adiciona complexidade e despesas desnecessárias sem fornecer benefícios adicionais de segurança.
S3.17 - Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
Recursos:
<account_id>arn: aws:s3: ::ams-a -gerenciador de alarmes- <region>
Os buckets do Amazon Simple Storage Service usados pelo sistema AMS Alarm Manager usam chaves de criptografia gerenciadas pela Amazon (SSE-S3) em vez de chaves KMS gerenciadas pelo cliente (SSE-KMS). A implementação de chaves gerenciadas pelo cliente exige que você conceda permissões explícitas ao AMS para usar suas chaves do KMS por meio de políticas de chaves. Isso introduz complexidade operacional e risco adicionais. O uso desse controle fornece uma criptografia forte em repouso, evitando custos adicionais e complexidade operacional para você.
Se você modificar políticas de chaves, alternar chaves de forma inadequada ou excluir ou desativar acidentalmente suas chaves, o monitoramento do AMS falhará imediatamente para você. Essa dependência da disponibilidade de chaves gerenciada pelo cliente compromete a infraestrutura crítica de monitoramento e alerta do AMS. Isso poderia potencialmente interromper os recursos de monitoramento em tempo real, entrega de alertas, resposta a incidentes e visibilidade da integridade do serviço. As chaves de criptografia gerenciadas pela Amazon criptografam automaticamente os dados em repouso sem exigir que você gerencie políticas de chaves, programações de rotação ou permissões de acesso. Essa implementação atende aos requisitos de criptografia, mantendo a eficiência de custos e a simplicidade operacional da infraestrutura AMS gerenciada.
Recursos:
<account_id><region>arn:aws:s3: ::ams-a -cloudtrail-log- -audit
O bucket de registro de AWS CloudTrail auditoria não pode usar AWS KMS criptografia devido às limitações do AWS serviço. Os buckets do S3 que servem como destinos de registro de acesso ao servidor não devem ter a criptografia de chave KMS ativada. Para obter mais informações, consulte Configuração da criptografia padrão e Solução de problemas de registro de acesso ao servidor no Guia do usuário do Amazon Simple Storage Service. Ativar a AWS KMS criptografia nos buckets de destino do registro pode causar falhas no registro e criar problemas operacionais. Em vez disso, esse bucket usa criptografia gerenciada pelo Amazon S3 (SSE-S3). Isso fornece criptografia em repouso, mantendo a compatibilidade com a funcionalidade de registro de acesso ao servidor S3.
KMS.2 - Os diretores do IAM não devem ter políticas embutidas do IAM que permitam ações de descriptografia em todas as chaves do KMS
Recursos:
Chave KMS: alias/ams/patchreporting
A política em linha contém “Resource”: ["*"] em uma política de chaves do KMS, que é uma política baseada em recursos anexada a uma chave KMS específica (ams_ssm_inventory_bucket_kms_key). As políticas de chave têm um escopo inerente à chave individual, e usar * no elemento Resource é uma AWS prática padrão, pois o escopo da política já está limitado pela própria chave. Para obter mais informações, consulte Criação de uma política de chaves e Política de chaves padrão no Guia do AWS KMS keys desenvolvedor. Essa configuração não representa nenhum risco de segurança, pois o acesso é limitado a uma única chave KMS, nem a todas as chaves da conta.
S3.9 - Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
Recursos:
ams-config-recorder-bucket- <account_id>-auditoria
Esses buckets S3 são buckets de destino de registro de acesso para AWS Config buckets Recorder. O S3 não recomenda a configuração do registro de acesso nesses buckets, pois isso gerará ciclos infinitos de registro, aumentando os custos desnecessariamente. AWS Security Hub em vez disso, recomenda que os recursos nesse cenário tenham as descobertas suprimidas.
Correção:
Você deve suprimir essa descoberta para esses buckets afetados, pois as descobertas não são úteis. Se você não quiser suprimir as descobertas, você pode, opcionalmente, configurar o registro automático no bucket. O registro automático acarreta o risco de que o registro possa ser removido se o AMS atualizar o bucket.
EC2.6 - O registro de fluxo de VPC deve ser ativado em todos VPCs
Recursos:
VPC padrão na criação da conta
Por padrão, o AMS não habilita os registros de fluxo da VPC para a VPC padrão.
Correção:
Você pode autorremediar o controle adicionando a chave/valor da ams:managed=true tag, limpando o estado da regra de configuração e executando novamente a avaliação da regra. O componente de remediação automática do AMS habilita os registros de fluxo da VPC na vpc.
