View a markdown version of this page

加速中的其他 Security Hub 控件 - AMS 加速用户指南
Lambda.3-Lambda 函数应位于 VPC 中S3.17-S3 通用存储桶应使用静态加密 AWS KMS keysKMS.2-IAM 委托人不应具有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略S3.9-S3 通用存储桶应启用服务器访问日志记录EC2.6-应全部启用 VPC 流量记录 VPCs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加速中的其他 Security Hub 控件

加速中提供了以下补偿控件。

Lambda.3-Lambda 函数应位于 VPC 中

资源:

  • AMSAlarmManagerDeploymentHandler

  • AMSAlarmManagerOrphanedAlarmCleanup

  • AMSAlarmManagerRemediation

  • AMSAlarmManagerReporting

  • AMSAlarmManagerTriggerEvaluation

  • AMSAlarmManagerValidation

  • AMSConfigExtensionDeploymentHandler

  • AMSConfigFSXExtension

  • AMSConfigOutpostExtension

  • AMSConfigSyntheticCanaryExtension

AMS 部署的 AWS Lambda 功能不会与您账户中的资源通信。因此,它们不需要专用的弹性网络接口 (ENIs) 或 VPC 放置。在 VPC 之外部署这些功能可以降低成本并提高部署速度。这种方法不会给资源内部通信带来任何安全问题。由于这些 Lambda 函数独立运行且不访问基于 VPC 的资源,因此 VPC 部署会增加不必要的复杂性和费用,而不会带来额外的安全优势。

S3.17-S3 通用存储桶应使用静态加密 AWS KMS keys

资源:

  • <account_id>arn: aws: s3::: ams-a-alarmanager-<region>

AMS Alarm Manager 系统使用的亚马逊简单存储服务存储桶使用亚马逊管理的加密密钥 (SSE-S3),而不是客户管理的 KMS 密钥 (SSE-KMS)。实施客户管理的密钥需要您通过密钥策略授予 AMS 使用您的 KMS 密钥的明确权限。这会带来额外的操作复杂性和风险。使用此控件可提供强大的静态加密,同时为您避免额外的成本和操作复杂性。

如果您修改了密钥策略、不当轮换密钥,或者意外删除或禁用了密钥,AMS 监控会立即失败。这种对客户管理的密钥可用性的依赖损害了 AMS 的关键监控和警报基础架构。它可能会中断实时监控功能、警报传送、事件响应和服务运行状况可见性。亚马逊管理的加密密钥可自动加密静态数据,无需您管理密钥策略、轮换计划或访问权限。这种实施满足了加密要求,同时保持了 AMS托管基础架构的成本效率和操作简便性。

资源:

  • <account_id><region>arn: aws: s3::: ams-a-cloudtrail-log-audit

由于 AWS 服务限制, AWS CloudTrail 审核日志存储桶无法使用 AWS KMS 加密。用作服务器访问日志目标的 S3 存储桶不得启用 KMS 密钥加密。有关更多信息,请参阅《Amazon 简单存储服务用户指南》中的配置默认加密服务器访问日志疑难解答。在日志目标存储桶上启用 AWS KMS 加密可能会导致日志记录失败并造成操作问题。此存储桶改为使用亚马逊 S3 托管加密 (SSE-S3)。这提供了静态加密,同时保持了与 S3 服务器访问日志功能的兼容性。

KMS.2-IAM 委托人不应具有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略

资源:

  • KMS 密钥:alias/ams/patchreporting

内联策略在 KMS 密钥策略中包含 “资源”: ["*"],该策略是附加到特定 KMS 密钥 (ams_ssm_inventory_bucket_kms_key) 的基于资源的策略。密钥策略本质上限于单个密钥,在资源元素中使用*是标准 AWS 做法,因为策略范围已经受到密钥本身的限制。有关更多信息,请参阅AWS KMS keys 开发人员指南中的创建密钥策略和默认密钥策略。此配置不会带来任何安全风险,因为访问仅限于单个 KMS 密钥,而不是账户中的所有密钥。

S3.9-S3 通用存储桶应启用服务器访问日志记录

资源:

  • ams-config-recorder-bucket-<account_id>-审计

这些 S3 存储桶是 AWS Config Recorder 存储桶的访问日志目标存储桶。S3 建议不要在这些存储桶上设置访问日志记录,因为它会生成无限的日志循环,从而不必要地增加成本。 AWS Security Hub 相反,建议在这种情况下的资源应隐瞒调查结果。

补救措施

对于这些受影响的存储桶,您应该取消此发现,因为这些发现没有用处。如果您不想隐瞒调查结果,则可以选择在存储桶上配置自日志。如果 AMS 更新存储桶,自记录可能会被删除。

EC2.6-应全部启用 VPC 流量记录 VPCs

资源:

  • 创建账户时的默认 vpc

默认情况下,AMS 不会为默认 VPC 启用 VPC 流量日志。

补救措施

您可以通过添加ams:managed=true标签键/值、清除配置规则的状态并重新运行规则评估来自我修复控件。AMS 的自动修复组件在 vpc 上启用 VPC 流日志。