Controles do Security Hub para Amazon EFS - AWS Security Hub
[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup[EFS.3] os pontos de EFS acesso devem impor um diretório raiz[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário[EFS.5] os pontos de EFS acesso devem ser marcados[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Amazon EFS

Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Elastic File System (AmazonEFS).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-encrypted-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando AWS KMS. A verificação falhará nos seguintes casos.

Observe que esse controle não usa o parâmetro KmsKeyId para efs-encrypted-check. Ele só verifica o valor de Encrypted.

Para uma camada adicional de segurança para seus dados confidenciais na AmazonEFS, você deve criar sistemas de arquivos criptografados. A Amazon EFS oferece suporte à criptografia para sistemas de arquivos em repouso. Você pode ativar a criptografia de dados em repouso ao criar um sistema de EFS arquivos da Amazon. Para saber mais sobre a EFS criptografia da Amazon, consulte Criptografia de dados na Amazon EFS no Guia do usuário do Amazon Elastic File System.

Correção

Para obter detalhes sobre como criptografar um novo sistema de EFS arquivos da Amazon, consulte Criptografar dados em repouso no Guia do usuário do Amazon Elastic File System.

[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoria: Recuperação > Resiliência > Backups

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-in-backup-plan

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (AmazonEFS) foram adicionados aos planos de backup em AWS Backup. O controle falhará se os sistemas de EFS arquivos da Amazon não estiverem incluídos nos planos de backup.

Incluir sistemas de EFS arquivos nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.

Correção

Para habilitar backups automáticos para um sistema de EFS arquivos existente da Amazon, consulte Introdução 4: Criar backups EFS automáticos da Amazon no Guia do AWS Backup desenvolvedor.

[EFS.3] os pontos de EFS acesso devem impor um diretório raiz

Requisitos relacionados: NIST.800-53.r5 AC-6 (10)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::EFS::AccessPoint

Regra do AWS Config : efs-access-point-enforce-root-directory

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os pontos de EFS acesso da Amazon estão configurados para impor um diretório raiz. O controle falhará se o valor de Path for definido como / (o diretório raiz padrão do sistema de arquivos).

Quando você impõe um diretório raiz, o NFS cliente que usa o ponto de acesso usa o diretório raiz configurado no ponto de acesso em vez do diretório raiz do sistema de arquivos. A imposição de um diretório raiz para um ponto de acesso ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.

Correção

Para obter instruções sobre como aplicar um diretório raiz para um ponto de EFS acesso da Amazon, consulte Como aplicar um diretório raiz com um ponto de acesso no Guia do usuário do Amazon Elastic File System.

[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário

Requisitos relacionados: NIST.800-53.r5 AC-6 (2)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::EFS::AccessPoint

Regra do AWS Config : efs-access-point-enforce-user-identity

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os pontos de EFS acesso da Amazon estão configurados para impor a identidade do usuário. Esse controle falhará se a identidade POSIX do usuário não for definida durante a criação do ponto de EFS acesso.

Os pontos de EFS acesso da Amazon são pontos de entrada específicos do aplicativo em um sistema de EFS arquivos que facilitam o gerenciamento do acesso do aplicativo a conjuntos de dados compartilhados. Os pontos de acesso podem impor uma identidade de usuário, incluindo os POSIX grupos do usuário, para todas as solicitações do sistema de arquivos feitas por meio do ponto de acesso. Os pontos de acesso também podem impor um diretório raiz diferente para o sistema de arquivamento fazendo com que clientes só possam acessar dados no diretório especificado ou em seus subdiretórios.

Correção

Para impor uma identidade de usuário para um ponto de EFS acesso da Amazon, consulte Como aplicar uma identidade de usuário usando um ponto de acesso no Guia do usuário do Amazon Elastic File System.

[EFS.5] os pontos de EFS acesso devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EFS::AccessPoint

Regra AWS Config: tagged-efs-accesspoint (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos AWS requisitos Nenhum valor padrão

Esse controle verifica se um ponto de EFS acesso da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o ponto de acesso não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o ponto de acesso não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um ponto de EFS acesso, consulte Como marcar EFS recursos da Amazon no Guia do usuário do Amazon Elastic File System.

[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: média

Tipo de recurso: AWS::EFS::FileSystem

Regra do AWS Config : efs-mount-target-public-accessible

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um destino de EFS montagem da Amazon está associado a uma sub-rede privada. O controle falhará se o destino de montagem estiver associado a uma sub-rede pública.

Por padrão, um sistema de arquivos só pode ser acessado a partir da nuvem privada virtual (VPC) na qual você o criou. Recomendamos criar destinos de EFS montagem em sub-redes privadas que não sejam acessíveis pela Internet. Isso ajuda a garantir que seu sistema de arquivos seja acessível somente a usuários autorizados e não seja vulnerável a acessos ou ataques não autorizados.

Correção

Você não pode alterar a associação entre um destino de EFS montagem e uma sub-rede depois de criar o destino de montagem. Para associar um destino de montagem existente a uma sub-rede diferente, você deve criar um novo destino de montagem em uma sub-rede privada e, em seguida, remover o destino de montagem antigo. Para obter informações sobre o gerenciamento de alvos de montagem, consulte Criação e gerenciamento de alvos de montagem e grupos de segurança no Guia do usuário do Amazon Elastic File System.