As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para Auto Scaling
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon EC2 Auto Scaling.
Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB
Requisitos relacionados: PCI DSS v3.2. 1/2.2, NIST.800-53.r5 CA-7, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 SI-2
Categoria: Identificar > Inventário
Gravidade: baixa
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
Regra do AWS Config: autoscaling-group-elb-healthcheck-required
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o grupo do Amazon EC2 Auto Scaling associado a um balanceador de carga usa as verificações de integridade do Elastic Load Balancing (ELB). O controle falhará se o grupo do Auto Scaling não usar as verificações de integridade do ELB.
As verificações de integridade do ELB garantem que o grupo do Auto Scaling possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. Usar as verificações de integridade do Elastic Load Balancing pode ajudar a garantir a disponibilidade das aplicações que usam os grupos do EC2 Auto Scaling.
Correção
Para adicionar verificações de integridade do Elastic Load Balancing, consulte Adicionar verificações de integridade do Elastic Load Balancing no Guia do usuário do Amazon EC2 Auto Scaling.
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
Regra do AWS Config: autoscaling-multiple-az
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
Número mínimo de zonas de disponibilidade |
Enum |
|
|
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling abrange pelo menos o número especificado de zonas de disponibilidade (AZs). O controle falhará se um grupo do Auto Scaling não abranger pelo menos o número especificado de AZs. A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de duas AZs.
Um grupo do Auto Scaling que não abranja várias AZs não poderá iniciar instâncias em outra AZ para compensar se a única AZ configurada ficar indisponível. Entretanto, um grupo do Auto Scaling com uma única zona de disponibilidade pode ser preferível em alguns casos de uso, como trabalhos em lote ou quando os custos de transferência entre AZs precisam ser reduzidos ao mínimo. Nesses casos, é possível desabilitar esse controle ou suprimir suas descobertas.
Correção
Para adicionar AZs a um grupo do Auto Scaling existente consulte Adicionar e remover zonas de disponibilidade no Guia do usuário do Amazon EC2 Auto Scaling.
[AutoScaling.3] As configurações de lançamento de grupos do Auto Scaling devem configurar as instâncias do EC2 para exigir o Instance Metadata Service Version 2 (IMDSv2)
Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, PCI DSS v4.0. 1/2.2.6
Categoria: Proteger > Configuração de rede segura
Gravidade: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
Regra do AWS Config: autoscaling-launchconfig-requires-imdsv2
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o IMDSv2 está habilitado em todas as instâncias iniciadas pelos grupos do Amazon EC2 Auto Scaling. O controle falhará se a versão do serviço de metadados de instância (IMDS) não estiver incluída na configuração de inicialização ou estiver configurada como token optional, que é uma configuração que permite o IMDSv1 ou o IMDSv2.
O IMDS fornece dados da instância que você pode usar para configurar ou gerenciar a instância em execução.
A versão 2 do IMDS adiciona novas proteções que não estavam disponíveis no IMDSv1 para proteger ainda mais suas instâncias do EC2.
Correção
Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de execução para um grupo do Auto Scaling, use uma configuração de execução existente como base para uma nova configuração de execução com IMDSv2 habilitado. Para ter mais informações, consulte Configurar opções de metadados da instância para novas instâncias no Guia do usuário do Amazon EC2.
[AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1
Importante
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do CSPM do Security Hub.
Requisitos relacionados: NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Categoria: Proteger > Configuração de rede segura
Gravidade: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
Regra do AWS Config: autoscaling-launch-config-hop-limit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica o número de saltos de rede que um token de metadados pode percorrer. O controle falhará se o limite de salto de resposta de metadados for maior que 1.
O serviço de metadados de instância (IMDS) fornece informações de metadados sobre uma instância do Amazon EC2 e é útil para configuração de aplicativos. Restringir a resposta HTTP PUT do serviço de metadados somente à instância do EC2 protege o IMDS do uso não autorizado.
O campo Time To Live (TTL) no pacote IP é reduzido em um em cada salto. Essa redução pode ser usada para garantir que o pacote não viaje para fora do EC2. O IMDSv2 protege instâncias do EC2 que podem ter sido configuradas incorretamente como roteadores abertos, firewalls de camada 3, VPNs, túneis ou dispositivos NAT, o que impede que usuários não autorizados recuperem metadados. Com o IMDSv2, a resposta PUT que contém o token secreto não pode sair da instância porque o limite de salto de resposta de metadados padrão está definido como 1. No entanto, se esse valor for maior que 1, o token poderá sair da instância do EC2.
Correção
Para modificar o limite de saltos da resposta de metadados para uma configuração de inicialização existente, consulte Modificar as opções de metadados de instância para as instâncias existentes no Guia do usuário do Amazon EC2.
[Autoscaling.5] As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos
Requisitos relacionados: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0. 1/14.4
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::AutoScaling::LaunchConfiguration
Regra do AWS Config: autoscaling-launch-config-public-ip-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a configuração de inicialização associada a um grupo do Auto Scaling atribui um endereço IP público às instâncias do grupo. O controle falhará se a configuração de inicialização associada atribuir um endereço IP público.
As instâncias do Amazon EC2 em uma configuração de lançamento de grupo do Auto Scaling não devem ter um endereço IP público associado, exceto em casos extremos limitados. As instâncias do Amazon EC2 só devem ser acessíveis por trás de um balanceador de carga, em vez de serem expostas diretamente à Internet.
Correção
Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de execução para um grupo do Auto Scaling, use uma configuração de execução existente como base para uma nova configuração de execução. Em seguida, atualize o grupo do Auto Scaling para usar a nova configuração de execução. Para obter instruções detalhadas, consulte Alterar a configuração de inicialização de um grupo do Auto Scaling no Guia do usuário do Amazon EC2 Auto Scaling. Ao criar a nova configuração de execução, em Configuração adicional, para Detalhes avançados, tipo de endereço IP, escolha Não atribuir um endereço IP público a nenhuma instância.
Depois de alterar a configuração de execução, o Ajuste de escala automático inicia novas instâncias com as novas opções de configuração. As instâncias existentes não são afetadas. Para atualizar uma instância existente, recomendamos que você atualize-a ou permita que a escalabilidade automática substitua gradualmente as instâncias mais antigas por instâncias mais novas com base em suas políticas de término. Para obter mais informações sobre a atualização de instâncias do Auto Scaling, consulte Atualizar instâncias do Auto Scaling no Guia do usuário do Amazon EC2 Auto Scaling.
[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
Regra do AWS Config: autoscaling-multiple-instance-types
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling usa vários tipos de instância. O controle falhará se o grupo do Auto Scaling tiver apenas um tipo de instância definido.
É possível aprimorar a disponibilidade ao implantar seu aplicativo em vários tipos de instâncias em execução em várias zonas de disponibilidade. O Security Hub CSPM recomenda o uso de vários tipos de instância para que o grupo do Auto Scaling possa iniciar outro tipo de instância se não houver capacidade de instância suficiente nas zonas de disponibilidade escolhidas.
Correção
Para criar um grupo do Auto Scaling com vários tipos de instância, consulte Grupos do Auto Scaling com vários tipos de instância e opções de compra no Guia do usuário do Amazon EC2 Auto Scaling.
[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento do Amazon EC2
Requisitos relacionados: NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Categoria: Identificar > Configuração de recursos
Gravidade: média
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
Regra do AWS Config: autoscaling-launch-template
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling foi criado de um modelo de inicialização do Amazon EC2. Esse controle falhará se um grupo do Amazon EC2 Auto Scaling não for criado com um modelo de execução ou se um modelo de execução não for especificado em uma política de instâncias mistas.
Um grupo de Auto Scaling no EC2 pode ser criado a partir de um modelo de execução ou de uma configuração de execução no EC2. No entanto, usar um modelo de execução para criar um grupo do Auto Scaling garante que você tenha acesso aos recursos e melhorias mais recentes.
Correção
Para criar um grupo do Auto Scaling com um modelo de inicialização do EC2, consulte Criar um grupo do Auto Scaling usando um modelo de execução no Guia do usuário do Amazon EC2 Auto Scaling. Para obter informações sobre como substituir uma configuração de inicialização por um modelo de execução, consulte Substituir uma configuração de inicialização por um modelo de inicialização no Guia do usuário do Amazon EC2.
[AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::AutoScaling::AutoScalingGroup
AWS Configregra: tagged-autoscaling-autoscalinggroup (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling tem tags com chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o grupo do Auto Scaling não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo do Auto Scaling não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um grupo do Auto Scaling, consulte Tag Auto Scaling groups and instances no Amazon EC2 Auto Scaling User Guide.