View a markdown version of this page

Controles CSPM do Security Hub paraCloudFormation - AWSSecurity Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles CSPM do Security Hub paraCloudFormation

Esses controles CSPM do Security Hub avaliam o AWS CloudFormation serviço e os recursos.

Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)

Importante

O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do CSPM do Security Hub.

Requisitos relacionados: NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Gravidade: baixa

Tipo de recurso: AWS::CloudFormation::Stack

Regra do AWS Config: cloudformation-stack-notification-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation. O controle falhará em uma CloudFormation pilha se nenhuma notificação do SNS estiver associada a ela.

Configurar uma notificação do SNS com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.

Correção

Para integrar uma CloudFormation pilha e um tópico do SNS, consulte Atualização de pilhas diretamente no Guia do AWS CloudFormation usuário.

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::CloudFormation::Stack

AWS Configregra: tagged-cloudformation-stack (regra CSPM personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Description Tipo Valores personalizados permitidos Valor padrão do CSPM do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas StringList (máximo de 6 itens) 1 a 6 chaves de tag que atendam aos requisitos da AWS. Nenhum valor padrão

Esse controle verifica se uma AWS CloudFormation pilha tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a uma CloudFormation pilha, consulte CreateStackna Referência da AWS CloudFormation API.

[CloudFormation.3] CloudFormation as pilhas devem ter a proteção de encerramento ativada

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Gravidade: média

Tipo de recurso: AWS::CloudFormation::Stack

Regra do AWS Config: cloudformation-termination-protection-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma AWS CloudFormation pilha tem a proteção de encerramento ativada. O controle falhará se a proteção de terminação não estiver ativada em uma CloudFormation pilha.

CloudFormation ajuda a gerenciar recursos relacionados como uma única unidade chamada pilha. É possível impedir que uma pilha seja excluída acidentalmente ativando a proteção contra encerramento na pilha. Se um usuário tentar excluir uma pilha com proteção contra encerramento ativada, a exclusão falhará e a pilha, incluindo o status dela, permanecerá inalterada. Você pode definir a proteção contra encerramento em uma pilha com qualquer status, exceto DELETE_IN_PROGRESS ou DELETE_COMPLETE.

nota

Quando a proteção contra terminação é habilitada ou desabilitada em uma pilha, a mesma opção se estende a todas as pilhas aninhadas pertencentes a ela. Você não pode ativar ou desativar a proteção contra encerramento diretamente em uma pilha aninhada. Você não pode excluir diretamente uma pilha aninhada pertencente a uma pilha que tenha a proteção de encerramento ativada. Se NESTED for exibido ao lado do nome da pilha, a pilha é aninhada. Só é possível alterar a proteção contra encerramento na pilha raiz à qual a pilha aninhada pertence.

Correção

Para ativar a proteção contra encerramento em uma CloudFormation pilha, consulte Proteger CloudFormation pilhas contra exclusão no Guia do AWS CloudFormationusuário.

[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas

Categoria: Detectar > Gerenciamento de acesso seguro

Gravidade: média

Tipo de recurso: AWS::CloudFormation::Stack

Regra do AWS Config: cloudformation-stack-service-role-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma AWS CloudFormation pilha tem uma função de serviço associada a ela. O controle falhará em uma CloudFormation pilha se nenhuma função de serviço estiver associada a ela.

Service-managed StackSets use funções de execução por meio da integração de acesso confiável da AWS Organizations. O controle também gera uma descoberta FALHA para uma AWS CloudFormation pilha criada pelo serviço gerenciado StackSets porque não há nenhuma função de serviço associada a ela. Devido à forma como o serviço gerenciado se StackSets autentica, o roleARN campo não pode ser preenchido para essas pilhas.

Usar funções de serviço com CloudFormation pilhas ajuda a implementar o acesso com privilégios mínimos, separando as permissões entre o usuário que creates/updates acumula e as permissões necessárias para os recursos. CloudFormation create/update Isso reduz o risco de escalonamento de privilégios e ajuda a manter os limites de segurança entre as diferentes funções operacionais.

nota

Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão iam:PassRole ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que o perfil conceda o privilégio mínimo.

Correção

Para associar uma função de serviço a uma CloudFormation pilha, consulte a função CloudFormation de serviço no Guia do AWS CloudFormation usuário.