As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para o Lambda

Esses AWS Security Hub controles avaliam o AWS Lambda serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[Lambda.1] As funções do Lambda.1 devem proibir o acesso público

Requisitos relacionados: NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 PCI DSS PCI DSS PCI DSS PCI DSS

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::Lambda::Function

Regra do AWS Config : lambda-function-public-access-prohibited

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a política baseada em recursos da função do Lambda proíbe o acesso público fora da sua conta. O controle falhará se o acesso público for permitido. O controle também falhará se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como AWS:SourceAccount. Recomendamos usar outras condições do S3 junto com AWS:SourceAccount em sua política de bucket para um acesso mais refinado.

A função do Lambda não deve ser publicamente acessível, pois isso pode permitir o acesso não intencional ao seu código de função.

Correção

Para corrigir esse problema, você deve atualizar a política baseada em recursos da sua função para remover permissões ou adicionar a condição AWS:SourceAccount. Você só pode atualizar a política baseada em recursos do Lambda ou. API AWS CLI

Para começar, revise a política baseada em recursos no console Lambda. Identifique a declaração de política que tem valores de campo Principal que tornam a política pública, como "*" ou { "AWS": "*" }.

Você pode editar uma política a partir do console. Para remover as permissões da função, execute o comando remove-permission no AWS CLI.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Substitua <function-name> pelo nome da função do Lambda e <statement-id> pela ID da instrução (Sid) que você deseja remover.

[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5), v4.0.1/12.3.4 NIST NIST PCI DSS

Categoria: Proteger > Desenvolvimento seguro

Severidade: média

Tipo de recurso: AWS::Lambda::Function

Regra do AWS Config : lambda-function-settings-check

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se as configurações de tempo de execução da AWS Lambda função correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O controle falhará se a função do Lambda não usar um runtime compatível, conforme observado anteriormente na seção Parâmetros. O Security Hub ignora as funções que têm um tipo de pacote de Image.

Os tempos de execução do Lambda se baseiam em uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitos a manutenção e atualizações de segurança. Quando um componente de tempo de runtime não é mais compatível com as atualizações de segurança, o runtime defasa o componente. Mesmo que você não possa criar funções que usem o componente de runtime obsoleto, a função ainda continuará disponível para processar eventos de invocação. Recomendamos garantir que as funções do Lambda estejam atualizadas e não usem ambientes de runtime obsoletos. Para obter uma lista dos runtimes compatíveis, consulte Runtimes do Lambda no Guia do desenvolvedor do AWS Lambda .

Correção

Para obter mais informações sobre runtimes compatíveis e programações de suspensão de uso, consulte Política de suspensão de runtime no Guia do desenvolvedor do AWS Lambda . Ao migrar os tempos de execução para a versão mais recente, siga a sintaxe e as orientações dos editores de idioma. Também recomendamos aplicar atualizações de runtime para ajudar a reduzir o risco de impacto para as workloads no caso raro de uma incompatibilidade de versão de runtime.

[Lambda.3] As funções Lambda devem estar em um VPC

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: baixa

Tipo de recurso: AWS::Lambda::Function

AWS Config regra: lambda-inside-vpc

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma função Lambda está implantada em uma nuvem privada virtual (). VPC O controle falhará se a função Lambda não for implantada em um. VPC O Security Hub não avalia a configuração de roteamento de VPC sub-rede para determinar a acessibilidade pública. Você pode ver falhas nas descobertas dos recursos do Lambda @Edge.

A implantação de recursos em um VPC fortalece a segurança e o controle sobre as configurações de rede. Essas implantações também oferecem escalabilidade e alta tolerância a falhas em várias zonas de disponibilidade. Você pode personalizar VPC as implantações para atender aos diversos requisitos de aplicativos.

Correção

Para configurar uma função existente para se conectar a sub-redes privadas em suaVPC, consulte Configurando o VPC acesso no Guia do AWS Lambda desenvolvedor. Recomendamos escolher pelo menos duas sub-redes privadas para alta disponibilidade e pelo menos um grupo de segurança que atenda aos requisitos de conectividade da função.

[Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::Lambda::Function

Regra do AWS Config : lambda-vpc-multi-az-check

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se uma AWS Lambda função que se conecta a uma nuvem privada virtual (VPC) opera em pelo menos o número especificado de Zona de Disponibilidade (AZs). O controle falhará se a função não operar em pelo menos o número especificado deAZs. A menos que você forneça um valor de parâmetro personalizado para o número mínimo deAZs, o Security Hub usa um valor padrão de doisAZs.

A implantação de recursos em vários AZs é uma prática AWS recomendada para garantir a alta disponibilidade em sua arquitetura. A disponibilidade é um pilar fundamental no modelo de segurança da tríade confidencialidade, integridade e disponibilidade. Todas as funções do Lambda que se conectam a VPC devem ter uma implantação Multi-AZ para garantir que uma única zona de falha não cause uma interrupção total das operações.

Correção

Se você configurar sua função para se conectar a uma VPC em sua conta, especifique sub-redes em várias AZs para garantir alta disponibilidade. Para obter instruções, consulte Como configurar o VPC acesso no Guia do AWS Lambda desenvolvedor.

O Lambda executa automaticamente outras funções em várias AZs para garantir que esteja disponível para processar eventos em caso de interrupção do serviço em uma única zona.

[Lambda.6] As funções do Lambda devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::Lambda::Function

Regra AWS Config : tagged-lambda-function (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se uma AWS Lambda função tem tags com as teclas específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a função não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a função não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

Correção

Para adicionar tags a uma função do Lambda, consulte Utilizar etiquetas em funções do Lambda no Guia do desenvolvedor do AWS Lambda .