As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para CloudFront
Esses controles do Security Hub avaliam o CloudFront serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
Requisitos relacionados: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-default-root-object-configured
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição não tiver um objeto raiz padrão configurado.
Às vezes, um usuário pode solicitar a raiz da distribuição URL em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo da sua distribuição da web.
Correção
Para configurar um objeto raiz padrão para uma CloudFront distribuição, consulte Como especificar um objeto raiz padrão no Amazon CloudFront Developer Guide.
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-viewer-policy-https
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se ViewerProtocolPolicy
estiver definido como allow-all
para defaultCacheBehavior
ou paracacheBehaviors
.
HTTPS(TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por meio de HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar o desempenho. Você deve testar seu aplicativo com esse recurso para entender o perfil de desempenho e o impacto doTLS.
Correção
Para criptografar uma CloudFront distribuição em trânsito, consulte Exigência HTTPS de comunicação entre espectadores e CloudFront no Amazon CloudFront Developer Guide.
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-origin-failover-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada com um grupo de origem que tem duas ou mais origens.
CloudFront o failover de origem pode aumentar a disponibilidade. O failover de origem redireciona automaticamente o tráfego para uma origem secundária se a origem primária não estiver disponível ou se retornar códigos de status de resposta específicosHTTP.
Correção
Para configurar o failover de origem para uma CloudFront distribuição, consulte Criação de um grupo de origem no Amazon CloudFront Developer Guide.
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 NIST PCI DSS
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-accesslogs-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição.
CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador.
Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Para obter orientações adicionais sobre como analisar registros de acesso, consulte Consultar CloudFront registros da Amazon no Guia do usuário do Amazon Athena.
Correção
Para configurar o registro de acesso para uma CloudFront distribuição, consulte Configuração e uso de registros padrão (registros de acesso) no Amazon CloudFront Developer Guide.
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
Requisitos relacionados: NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
Categoria: Proteger > Serviços de proteção
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-associated-with-waf
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições estão associadas ao AWS WAF Classic ou à AWS WAF webACLs. O controle falhará se a distribuição não estiver associada a uma webACL.
AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Ele permite que você configure um conjunto de regras, chamado de lista de controle de acesso à web (webACL), que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Garanta que sua CloudFront distribuição esteja associada a uma AWS WAF web ACL para ajudar a protegê-la contra ataques maliciosos.
Correção
Para associar uma AWS WAF web ACL a uma CloudFront distribuição, consulte Usando AWS WAF para controlar o acesso ao seu conteúdo no Amazon CloudFront Developer Guide.
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-custom-ssl-certificate
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições estão usando o SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado padrão.
PersonalizadoSSL/TLSpermite que seus usuários acessem o conteúdo usando nomes de domínio alternativos. Você pode armazenar certificados personalizados em AWS Certificate Manager (recomendado) ou emIAM.
Correção
Para adicionar um nome de domínio alternativo para uma CloudFront distribuição usando um TLS certificadoSSL/personalizado, consulte Adicionar um nome de domínio alternativo no Amazon CloudFront Developer Guide.
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-sni-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando um método de SSL/TLS certificate and are configured to use SNI to serve HTTPS requests. This control fails if a custom SSL/TLS certificate is associated but the SSL/TLS suporte personalizado em um endereço IP dedicado.
Server Name Indication (SNI) é uma extensão do TLS protocolo compatível com navegadores e clientes lançados após 2010. Se você configurar CloudFront para atender às HTTPS solicitações usandoSNI, CloudFront associe seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um espectador envia uma HTTPS solicitação para seu conteúdo, DNS encaminha a solicitação para o endereço IP da localização de borda correta. O endereço IP do seu nome de domínio é determinado durante a negociaçãoSSL/TLShandshake; o endereço IP não é dedicado à sua distribuição.
Correção
Para configurar uma CloudFront distribuição a ser usada SNI para atender HTTPS solicitações, consulte Como usar SNI para atender HTTPS solicitações (funciona para a maioria dos clientes) no Guia do CloudFront desenvolvedor. Para obter informações sobre SSL certificados personalizados, consulte Requisitos para usar SSL TLS /certificates com CloudFront.
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-traffic-to-origin-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão criptografando o tráfego para origens personalizadas. Esse controle falha em uma CloudFront distribuição cuja política de protocolo de origem permite “somente http”. Esse controle também falhará se a política do protocolo de origem da distribuição for “match-viewer”, enquanto a política do protocolo do visualizador for “allow-all”.
HTTPS(TLS) pode ser usado para ajudar a evitar a espionagem ou manipulação do tráfego da rede. Somente conexões criptografadas por meio de HTTPS (TLS) devem ser permitidas.
Correção
Para atualizar a Política do Protocolo de Origem para exigir criptografia para uma CloudFront conexão, consulte HTTPSExigência de comunicação entre CloudFront e sua origem personalizada no Amazon CloudFront Developer Guide.
[CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, (4),, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-no-deprecated-ssl-protocols
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando SSL protocolos obsoletos para HTTPS comunicação entre pontos de CloudFront presença e suas origens personalizadas. Esse controle falhará se uma CloudFront distribuição tiver um CustomOriginConfig
where OriginSslProtocols
includesSSLv3
.
Em 2015, a Internet Engineering Task Force (IETF) anunciou oficialmente que o SSL 3.0 deveria ser descontinuado devido ao protocolo não ser suficientemente seguro. É recomendável usar TLSv1 .2 ou posterior para HTTPS comunicação com suas origens personalizadas.
Correção
Para atualizar os SSL protocolos de origem de uma CloudFront distribuição, consulte Exigência HTTPS de comunicação entre CloudFront e sua origem personalizada no Amazon CloudFront Developer Guide.
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST v4.0.1/2.2.6 PCI DSS
Categoria: Identificar > Configuração de recursos
Severidade: alta
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-s3-origin-non-existent-bucket
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão apontando para origens inexistentes do Amazon S3. O controle falhará em uma CloudFront distribuição se a origem estiver configurada para apontar para um bucket inexistente. Esse controle se aplica somente às CloudFront distribuições em que um bucket do S3 sem hospedagem estática do site é a origem do S3.
Quando uma CloudFront distribuição em sua conta é configurada para apontar para um bucket inexistente, um terceiro mal-intencionado pode criar o bucket referenciado e fornecer seu próprio conteúdo por meio de sua distribuição. Recomendamos verificar todas as origens, independentemente do comportamento de roteamento, para garantir que suas distribuições estejam apontando para as origens apropriadas.
Correção
Para modificar uma CloudFront distribuição para apontar para uma nova origem, consulte Atualização de uma distribuição no Amazon CloudFront Developer Guide.
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Severidade: média
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config : cloudfront-s3-origin-access-control-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com origem no Amazon S3 tem o controle de acesso de origem (OAC) configurado. O controle falhará se OAC não estiver configurado para a CloudFront distribuição.
Ao usar um bucket do S3 como origem para sua CloudFront distribuição, você pode habilitarOAC. Isso permite o acesso ao conteúdo no bucket somente por meio da CloudFront distribuição especificada e proíbe o acesso diretamente do bucket ou de outra distribuição. Embora seja CloudFront compatível com Origin Access Identity (OAI), OAC oferece funcionalidades adicionais e as distribuições que usam OAI podem migrar para o. OAC Embora OAI forneça uma maneira segura de acessar as origens do S3, ela tem limitações, como a falta de suporte para configurações de políticas granulares e para HTTPS solicitaçõesHTTP/que usam o POST método Regiões da AWS que exigem o AWS Signature Version 4 (SigV4). OAItambém não suporta criptografia com AWS Key Management Service. OACé baseado em uma prática AWS recomendada de usar diretores de IAM serviço para autenticar com origens do S3.
Correção
OACPara configurar uma CloudFront distribuição com origens do S3, consulte Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide. CloudFront
[CloudFront.14] as CloudFront distribuições devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config regra: tagged-cloudfront-distribution
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se uma CloudFront distribuição da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a distribuição não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a distribuição não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma CloudFront distribuição, consulte Como marcar CloudFront distribuições da Amazon no Amazon CloudFront Developer Guide.