Controles do Security Hub para Auto Scaling - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Auto Scaling

Esses controles do Security Hub avaliam o serviço e os recursos do Amazon EC2 Auto Scaling.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.

[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB

Requisitos relacionados: PCI DSS v3.2.1/2.2, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST

Categoria: Identificar > Inventário

Severidade: baixa

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

AWS Config regra: autoscaling-group-elb-healthcheck-required

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling associado a um balanceador de carga usa as verificações de saúde do Elastic Load Balancing ELB (). O controle falhará se o grupo Auto Scaling não usar verificações de ELB saúde.

ELBas verificações de saúde ajudam a garantir que um grupo do Auto Scaling possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso das verificações de integridade do Elastic Load Balancing também ajuda a apoiar a disponibilidade de aplicativos que usam grupos de Auto EC2 Scaling.

Correção

Para adicionar verificações de saúde do Elastic Load Balancing, consulte Adicionar verificações de saúde do Elastic Load Balancing no Guia do usuário do Amazon Auto EC2 Scaling.

[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

AWS Config regra: autoscaling-multiple-az

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

minAvailabilityZones

Número mínimo de zonas de disponibilidade

Enum

2, 3, 4, 5, 6

2

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling abrange pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um grupo de Auto Scaling não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo deAZs, o Security Hub usa um valor padrão de doisAZs.

Um grupo de Auto Scaling que não abrange várias não AZs pode iniciar instâncias em outra AZ para compensar se a única AZ configurada ficar indisponível. Entretanto, um grupo do Auto Scaling com uma única zona de disponibilidade pode ser preferível em alguns casos de uso, como trabalhos em lote ou quando os custos de transferência entre AZs precisam ser reduzidos ao mínimo. Nesses casos, é possível desabilitar esse controle ou suprimir suas descobertas.

Correção

AZsPara adicionar a um grupo existente do Auto Scaling, consulte Adicionar e remover zonas de disponibilidade no Guia do usuário do Amazon Auto EC2 Scaling.

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

AWS Config regra: autoscaling-launchconfig-requires-imdsv2

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se IMDSv2 está habilitado em todas as instâncias iniciadas pelos grupos do Amazon EC2 Auto Scaling. O controle falhará se a versão do Instance Metadata Service (IMDS) não estiver incluída na configuração de execução ou estiver configurada comotoken optional, que é uma configuração que permite IMDSv1 ouIMDSv2.

IMDSfornece dados sobre sua instância que você pode usar para configurar ou gerenciar a instância em execução.

A versão 2 do IMDS adiciona novas proteções que não estavam disponíveis IMDSv1 para proteger ainda mais suas EC2 instâncias.

Correção

Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de lançamento de um grupo de Auto Scaling, use uma configuração de inicialização existente como base para uma nova configuração de inicialização com IMDSv2 habilitada. Para obter mais informações, consulte Configurar opções de metadados de instância para novas instâncias no Guia do EC2 usuário da Amazon.

[AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1

Importante

O Security Hub retirou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

AWS Config regra: autoscaling-launch-config-hop-limit

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica o número de saltos de rede que um token de metadados pode percorrer. O controle falhará se o limite de salto de resposta de metadados for maior que 1.

O Instance Metadata Service (IMDS) fornece informações de metadados sobre uma EC2 instância da Amazon e é útil para configuração de aplicativos. Restringir a HTTP PUT resposta do serviço de metadados somente à EC2 instância os IMDS protege do uso não autorizado.

O campo Time To Live (TTL) no pacote IP é reduzido em um em cada salto. Essa redução pode ser usada para garantir que o pacote não viaje para foraEC2. IMDSv2protege EC2 instâncias que podem ter sido configuradas incorretamente como roteadores abertos, firewalls de camada 3, túneis ou NAT dispositivosVPNs, o que impede que usuários não autorizados recuperem metadados. ComIMDSv2, a PUT resposta que contém o token secreto não pode sair da instância porque o limite de salto de resposta de metadados padrão está definido como. 1 No entanto, se esse valor for maior que1, o token poderá sair da EC2 instância.

Correção

Para modificar o limite de salto de resposta de metadados para uma configuração de execução existente, consulte Modificar opções de metadados de instância para instâncias existentes no Guia EC2do usuário da Amazon.

[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso: AWS::AutoScaling::LaunchConfiguration

AWS Config regra: autoscaling-launch-config-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a configuração de inicialização associada a um grupo do Auto Scaling atribui um endereço IP público às instâncias do grupo. O controle falhará se a configuração de inicialização associada atribuir um endereço IP público.

EC2As instâncias da Amazon em uma configuração de lançamento em grupo do Auto Scaling não devem ter um endereço IP público associado, exceto em casos extremos limitados. EC2As instâncias da Amazon só devem ser acessadas por trás de um balanceador de carga, em vez de serem expostas diretamente à Internet.

Correção

Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de execução para um grupo do Auto Scaling, use uma configuração de execução existente como base para uma nova configuração de execução. Em seguida, atualize o grupo do Auto Scaling para usar a nova configuração de execução. Para step-by-step obter instruções, consulte Alterar a configuração de lançamento de um grupo de Auto Scaling no Guia do usuário do Amazon Auto EC2 Scaling. Ao criar a nova configuração de execução, em Configuração adicional, para Detalhes avançados, tipo de endereço IP, escolha Não atribuir um endereço IP público a nenhuma instância.

Depois de alterar a configuração de execução, o Ajuste de escala automático inicia novas instâncias com as novas opções de configuração. As instâncias existentes não são afetadas. Para atualizar uma instância existente, recomendamos que você atualize-a ou permita que a escalabilidade automática substitua gradualmente as instâncias mais antigas por instâncias mais novas com base em suas políticas de término. Para obter mais informações sobre a atualização de instâncias do Auto Scaling, consulte Atualizar instâncias do Auto Scaling no Guia do usuário do Amazon Auto EC2 Scaling.

[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

AWS Config regra: autoscaling-multiple-instance-types

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling usa vários tipos de instância. O controle falhará se o grupo do Auto Scaling tiver apenas um tipo de instância definido.

É possível aprimorar a disponibilidade ao implantar seu aplicativo em vários tipos de instâncias em execução em várias zonas de disponibilidade. O Security Hub recomenda o uso de vários tipos de instância para que o grupo do Auto Scaling possa executar outro tipo de instância se houver capacidade de instância insuficiente nas zonas de disponibilidade escolhidas.

Correção

Para criar um grupo de Auto Scaling com vários tipos de instância, consulte Grupos de Auto Scaling com vários tipos de instância e opções de compra no Guia do usuário do Amazon Auto EC2 Scaling.

[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificar > Configuração de recursos

Severidade: média

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

AWS Config regra: autoscaling-launch-template

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling foi criado a partir de um modelo de EC2 lançamento. Esse controle falhará se um grupo do Amazon EC2 Auto Scaling não for criado com um modelo de execução ou se um modelo de execução não for especificado em uma política de instâncias mistas.

Um grupo de EC2 Auto Scaling pode ser criado a partir de um modelo de EC2 execução ou de uma configuração de execução. No entanto, usar um modelo de execução para criar um grupo do Auto Scaling garante que você tenha acesso aos recursos e melhorias mais recentes.

Correção

Para criar um grupo de Auto Scaling com um modelo de EC2 lançamento, consulte Criar um grupo de Auto Scaling usando um modelo de lançamento no Guia do usuário do Amazon Auto EC2 Scaling. Para obter informações sobre como substituir uma configuração de lançamento por um modelo de lançamento, consulte Substituir uma configuração de lançamento por um modelo de lançamento no Guia EC2 do usuário da Amazon.

[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::AutoScaling::AutoScalingGroup

AWS Config regra: tagged-autoscaling-autoscalinggroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem AWS requisitos Nenhum valor padrão

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo Auto Scaling não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro. requiredTagKeys Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo Auto Scaling não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.

Correção

Para adicionar tags a um grupo do Auto Scaling, consulte Grupos e instâncias do Tag Auto Scaling no Guia do usuário do Amazon Auto EC2 Scaling.