Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Controles do Security Hub para o Amazon EFS

PDF
RSS
Modo de foco
Controles do Security Hub para o Amazon EFS - AWS Security Hub
[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário[EFS.5] Os pontos de acesso do EFS devem ser marcados[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Elastic File System (Amazon EFS).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-encrypted-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando AWS KMS. A verificação falhará nos seguintes casos.

Observe que esse controle não usa o parâmetro KmsKeyId para efs-encrypted-check. Ele só verifica o valor de Encrypted.

Para obter uma camada de segurança adicional para os dados confidenciais no Amazon EFS, você deve criar sistemas de arquivos criptografados. O Amazon EFS é compatível com criptografia de sistemas de arquivos em repouso. É possível ativar a criptografia em repouso ao criar um sistema de arquivos do Amazon EFS. Para obter mais informações sobre a criptografia Amazon EFS, consulte Criptografia de dados no Amazon EFS no Guia do usuário do Amazon Elastic File System.

Correção

Para obter detalhes sobre como criptografar um novo sistema de arquivos do Amazon EFS , consulte Criptografar dados em repouso no Guia do usuário do Amazon Elastic File System.

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Backups

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-in-backup-plan

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) foram adicionados aos planos de backup em AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup.

Incluir sistemas de arquivos EFS nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.

Correção

Para habilitar backups automáticos para um sistema de arquivos Amazon EFS existente, consulte Conceitos básicos 4: Criar backups automáticos do Amazon EFS no Guia do desenvolvedor do AWS Backup .

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

Requisitos relacionados: NIST.800-53.r5 AC-6 (10)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::EFS::AccessPoint

Regra do AWS Config : efs-access-point-enforce-root-directory

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para impor um diretório raiz. O controle falhará se o valor de Path for definido como / (o diretório raiz padrão do sistema de arquivos).

Ao impor um diretório raiz, o cliente NFS usando o ponto de acesso utiliza o diretório raiz configurado no ponto de acesso em vez do diretório raiz do sistema de arquivos. A imposição de um diretório raiz para um ponto de acesso ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.

Correção

Para obter instruções sobre como aplicar um diretório raiz para um ponto de acesso do Amazon EFS, consulte Aplicação de um diretório raiz com um ponto de acesso no Guia do usuário do Amazon Elastic File System.

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

Requisitos relacionados: NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::EFS::AccessPoint

Regra do AWS Config : efs-access-point-enforce-user-identity

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para executar uma identidade de usuário. Esse controle falhará se uma identidade de usuário POSIX não for definida durante a criação do ponto de acesso EFS.

Os pontos de acesso do Amazon EFS são pontos de entrada específicos da aplicação para um sistema de arquivos do EFS que facilitam o gerenciamento do acesso de aplicações a conjuntos de dados compartilhados. Os pontos de acesso podem impor uma identidade de usuário, inclusive grupos POSIX do usuário, para todas as solicitações do sistema de arquivamento feitas por meio do ponto de acesso. Os pontos de acesso também podem impor um diretório raiz diferente para o sistema de arquivamento fazendo com que clientes só possam acessar dados no diretório especificado ou em seus subdiretórios.

Correção

Para impor uma identidade de usuário para um ponto de acesso do Amazon EFS, consulte Impor uma identidade de usuário usando um ponto de acesso no Guia do usuário do Amazon Elastic File System.

[EFS.5] Os pontos de acesso do EFS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EFS::AccessPoint

Regra AWS Config: tagged-efs-accesspoint (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos requisitos da AWS Nenhum valor padrão

Esse controle verifica se um ponto de acesso do Amazon EFS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o ponto de acesso não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de acesso não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um ponto de acesso do EFS, consulte Tagging Amazon EFS resources no Amazon Elastic File System User Guide.

[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-mount-target-public-accessible

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um destino de montagem do Amazon EFS é associado a uma sub-rede privada. O controle falhará se o destino da montagem for associado a uma sub-rede pública.

Por padrão, um sistema de arquivos pode ser acessado somente da nuvem privada virtual (VPC) na qual você o criou. Recomendamos criar destinos de montagem do EFS em sub-redes privadas que não sejam acessíveis pela Internet. Isso ajuda a garantir que o sistema de arquivos seja acessível somente a usuários autorizados e não seja vulnerável a acessos não autorizados ou a ataques.

Correção

Você não pode alterar a associação entre um destino de montagem do EFS e uma sub-rede depois de criar o destino de montagem. Para associar um destino de montagem existente a outra sub-rede, você deve criar um novo destino de montagem em uma sub-rede privada e depois remover o destino de montagem antigo. Para obter informações sobre o gerenciamento de destinos de montagem, consulte Creating and managing mount targets and security groups no Amazon Elastic File System User Guide.

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

Categoria: Recuperação > Resiliência > Backups ativados

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-automatic-backups-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um sistema de arquivos do Amazon EFS tem backups automáticos habilitados. Esse controle falhará se o sistema de arquivos EFS não tiver backups automáticos habilitados.

Um backup de dados é uma cópia dos dados do sistema, da configuração ou da aplicação que é armazenada separa do original. Habilitar backups regulares ajuda a proteger dados valiosos contra eventos imprevistos, como falhas no sistema, ataques cibernéticos ou exclusões acidentais. Ter uma estratégia de backup robusta também facilita recuperações mais rápidas, continuidade dos negócios e tranquilidade diante da possível perda de dados.

Correção

Para obter informações sobre o uso AWS Backup de sistemas de arquivos EFS, consulte Backup de sistemas de arquivos EFS no Guia do usuário do Amazon Elastic File System

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-filesystem-ct-encrypted

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um sistema de arquivos do Amazon EFS criptografa dados com AWS Key Management Service (AWS KMS). O controle falhará se um sistema de arquivos não for criptografado.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

Correção

Para habilitar a criptografia em repouso de um novo sistema de arquivos do EFS, consulte Encrypting data at rest no Amazon Elastic File System User Guide.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.