As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon MQ
Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon MQ.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
Requisitos relacionados: NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-12, NIST .800-53.r5 SI-4 NIST NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::AmazonMQ::Broker
AWS Config regra: mq-cloudwatch-audit-log-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um agente do Amazon MQ ActiveMQ transmite logs de auditoria para o Amazon Logs. CloudWatch O controle falhará se o agente não transmitir os registros de auditoria para o CloudWatch Logs.
Ao publicar os registros do agente ActiveMQ no Logs CloudWatch , você pode CloudWatch criar alarmes e métricas que aumentam a visibilidade das informações relacionadas à segurança.
Correção
Para transmitir os logs do agente ActiveMQ para o Logs, consulte Configurando o Amazon MQ CloudWatch para registros do ActiveMQ no Guia do Desenvolvedor do Amazon MQ.
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
Requisitos relacionados: NIST .800-53.r5 CM-3, .800-53.r5 SI-2 NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: baixa
Tipo de recurso: AWS::AmazonMQ::Broker
AWS Config regra: mq-auto-minor-version-upgrade-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um agente do Amazon MQ tem a atualização automática de versões secundárias ativada. O controle falhará se o corretor não tiver a atualização automática de versões secundárias ativada.
À medida que o Amazon MQ lança e oferece suporte a novas versões do broker engine, as alterações são compatíveis com versões anteriores de um aplicativo existente e não substituem a funcionalidade existente. As atualizações automáticas da versão do broker engine protegem você contra riscos de segurança, ajudam a corrigir bugs e aprimoram a funcionalidade.
nota
Quando o broker associado à atualização automática de versões secundárias está em seu patch mais recente e não tem suporte, você deve realizar uma ação manual para fazer o upgrade.
Correção
Para habilitar a atualização automática de versões secundárias para um agente de MQ, consulte Atualização automática da versão secundária do mecanismo no Guia do desenvolvedor do Amazon MQ.
[MQ.4] Os corretores do Amazon MQ devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::AmazonMQ::Broker
AWS Config regra: tagged-amazonmq-broker (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um agente do Amazon MQ tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o corretor não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o broker não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um agente do Amazon MQ, consulte Recursos de marcação no Guia do desenvolvedor do Amazon MQ.
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: baixa
Tipo de recurso: AWS::AmazonMQ::Broker
AWS Config regra: mq-active-deployment-mode
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o modo de implantação de um agente Amazon MQ ActiveMQ está definido como ativo/em espera. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.
A implantação ativa/em espera fornece alta disponibilidade para seus corretores Amazon MQ ActiveMQ em um Região da AWS. O modo de implantação ativo/em espera inclui duas instâncias de agente em duas zonas de disponibilidade diferentes, configuradas em um par redundante. Esses agentes se comunicam de forma síncrona com seu aplicativo, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.
Correção
Para criar um novo agente ActiveMQ com modo de implantação ativo/em espera, consulte Criar e configurar um agente ActiveMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Agente ativo/em espera. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, você deve criar um novo agente e copiar as configurações do agente antigo.
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: baixa
Tipo de recurso: AWS::AmazonMQ::Broker
AWS Config regra: mq-rabbit-deployment-mode
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o modo de implantação de um agente Amazon MQ RabbitMQ está definido como implantação em cluster. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.
A implantação de clusters fornece alta disponibilidade para seus corretores Amazon MQ RabbitMQ em um Região da AWS. A implantação do cluster é um agrupamento lógico de três nós do broker RabbitMQ, cada um com seu próprio volume Amazon Elastic Block Store (AmazonEBS) e um estado compartilhado. A implantação do cluster garante que os dados sejam replicados para todos os nós do cluster, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.
Correção
Para criar um novo agente RabbitMQ com modo de implantação em cluster, consulte Criar e conectar um agente RabbitMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Implantação em cluster. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, você deve criar um novo agente e copiar as configurações do agente antigo.
