本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 EFS
这些 Security Hub 控件评估亚马逊弹性文件系统(亚马逊EFS)的服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS
相关要求:Foun d CIS AWS ations Benchmark v3.0.0/2.4.1、 NIST.800-53.r5 CA-9 (1)、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、(10)、.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-encrypted-check
计划类型:定期
参数:无
此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据 AWS KMS。在以下情况下,检查失败。
-
在
DescribeFileSystems响应中Encrypted设置为false。 -
DescribeFileSystems响应中的KmsKeyId密钥与efs-encrypted-check的KmsKeyId参数不匹配。
请注意,此控件不使用 efs-encrypted-check 的 KmsKeyId 参数。它只检查 Encrypted 的值。
为了为您的Amazon中的敏感数据增加一层安全保护EFS,您应该创建加密的文件系统。Amazon EFS 支持对静态文件系统进行加密。创建 Amazon EFS 文件系统时,您可以启用静态数据加密。要了解有关亚马逊EFS加密的更多信息,请参阅亚马逊 Elasti c File System 用户指南EFS中的亚马逊数据加密。
修复
有关如何加密新的 Amazon EFS 文件系统的详细信息,请参阅 Amazon El astic F ile System 用户指南中的加密静态数据。
[EFS.2] Amazon EFS 卷应包含在备份计划中
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST
分类:恢复 > 弹性 > 备份
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-in-backup-plan
计划类型:定期
参数:无
此控件会检查是否将 Amazon Elastic File System File System (AmazonEFS) 文件系统添加到中的备份计划中 AWS Backup。如果备份计划中不包括 Amazon EFS 文件系统,则控制失败。
在备份计划中包括EFS文件系统可以帮助您保护数据免遭删除和数据丢失。
修复
要为现有 Amazon EFS 文件系统启用自动备份,请参阅AWS Backup 开发人员指南中的入门 4:创建 Amazon EFS 自动备份。
[EFS.3] EFS 接入点应强制使用根目录
相关要求: NIST.800-53.r5 AC-6(10)
类别:保护 > 安全访问管理
严重性:中
资源类型:AWS::EFS::AccessPoint
AWS Config 规则:efs-access-point-enforce-root-directory
计划类型:已触发变更
参数:无
此控件会检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 Path 值设置为 /(文件系统的默认根目录),则控制失败。
强制使用根目录时,使用接入点的NFS客户端使用在接入点上配置的根目录,而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件,从而有助于限制数据访问。
修复
有关如何为亚马逊EFS接入点强制使用根目录的说明,请参阅《Amazon El asti c File System 用户指南》中的 “使用接入点强制使用根目录”。
[EFS.4] EFS 接入点应强制使用用户身份
相关要求: NIST.800-53.r5 AC-6(2)
类别:保护 > 安全访问管理
严重性:中
资源类型:AWS::EFS::AccessPoint
AWS Config 规则:efs-access-point-enforce-user-identity
计划类型:已触发变更
参数:无
此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建EFS接入点时未定义POSIX用户身份,则此控件将失败。
Amazon EFS 接入点是EFS文件系统中应用程序特定的入口点,可以更轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制使用用户身份,包括用户的POSIX群组。接入点还可以为文件系统强制执行不同的根目录,以便客户端只能访问指定目录或其子目录中的数据。
修复
要强制使用亚马逊EFS接入点的用户身份,请参阅《A mazon Elastic File System 用户指南》中的使用接入点强制使用用户身份。
[EFS.5] 应EFS标记接入点
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EFS::AccessPoint
AWS Config规则:tagged-efs-accesspoint(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EFS 接入点是否具有参数中定义的特定密钥的标签requiredTagKeys。如果接入点没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果接入点未使用任何密钥标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EFS接入点添加标签,请参阅《Amazon Elasti c File System 用户指南》中的为亚马逊EFS资源添加标签。
[EFS.6] 不应将EFS装载目标与公有子网关联
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-mount-target-public-accessible
计划类型:定期
参数:无
此控件检查 Amazon EFS 挂载目标是否与私有子网关联。如果挂载目标与公有子网关联,则控制失败。
默认情况下,只能从创建文件系统的虚拟私有云 (VPC) 访问该文件系统。我们建议在无法从 Internet 访问的私有子网中创建EFS挂载目标。这有助于确保只有经过授权的用户才能访问您的文件系统,并且不会受到未经授权的访问或攻击。
修复
创建挂载目标后,您无法更改EFS挂载目标和子网之间的关联。要将现有装载目标与其他子网关联,您必须在私有子网中创建一个新的挂载目标,然后移除旧的挂载目标。有关管理挂载目标的信息,请参阅 Amazon Elastic File System 用户指南中的创建和管理挂载目标和安全组。
