适用于亚马逊的 Security Hub 控件 EFS - AWS Security Hub
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS[EFS.2] Amazon EFS 卷应包含在备份计划中[EFS.3] EFS 接入点应强制使用根目录[EFS.4] EFS 接入点应强制使用用户身份[EFS.5] 应EFS标记接入点[EFS.6] EFS 装载目标不应与公有子网关联[EFS.7] EFS 文件系统应启用自动备份[EFS.8] 应在静态时对EFS文件系统进行加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊的 Security Hub 控件 EFS

这些 Security Hub 控件评估亚马逊弹性文件系统(亚马逊EFS)的服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS

相关要求:Foun d CIS AWS ations Benchmark v3.0.0/2.4.1、 NIST.800-53.r5 CA-9 (1)、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、(10)、.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-encrypted-check

计划类型:定期

参数:

此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据 AWS KMS。在以下情况下,检查失败。

请注意,此控件不使用 efs-encrypted-checkKmsKeyId 参数。它只检查 Encrypted 的值。

为了为您的Amazon中的敏感数据增加一层安全保护EFS,您应该创建加密的文件系统。Amazon EFS 支持对静态文件系统进行加密。创建 Amazon EFS 文件系统时,您可以启用静态数据加密。要了解有关亚马逊EFS加密的更多信息,请参阅亚马逊 Elasti c File System 用户指南EFS中的亚马逊数据加密

修复

有关如何加密新的 Amazon EFS 文件系统的详细信息,请参阅 Amazon El astic F ile System 用户指南中的加密静态数据

[EFS.2] Amazon EFS 卷应包含在备份计划中

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST

分类:恢复 > 弹性 > 备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-in-backup-plan

计划类型:定期

参数:

此控件会检查是否将 Amazon Elastic File System File System (AmazonEFS) 文件系统添加到中的备份计划中 AWS Backup。如果备份计划中不包括 Amazon EFS 文件系统,则控制失败。

在备份计划中包括EFS文件系统可以帮助您保护数据免遭删除和数据丢失。

修复

要为现有 Amazon EFS 文件系统启用自动备份,请参阅AWS Backup 开发人员指南中的入门 4:创建 Amazon EFS 自动备份

[EFS.3] EFS 接入点应强制使用根目录

相关要求: NIST.800-53.r5 AC-6(10)

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-root-directory

计划类型:已触发变更

参数:

此控件会检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 Path 值设置为 /(文件系统的默认根目录),则控制失败。

强制使用根目录时,使用接入点的NFS客户端使用在接入点上配置的根目录,而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件,从而有助于限制数据访问。

修复

有关如何为亚马逊EFS接入点强制使用根目录的说明,请参阅 Amazon El asti c File System 用户指南中的使用接入点强制使用根目录。

[EFS.4] EFS 接入点应强制使用用户身份

相关要求: NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-user-identity

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建EFS接入点时未定义POSIX用户身份,则此控制失败。

Amazon EFS 接入点是EFS文件系统中应用程序特定的入口点,可以更轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制使用用户身份,包括用户的POSIX群组。接入点还可以为文件系统强制执行不同的根目录,以便客户端只能访问指定目录或其子目录中的数据。

修复

要强制使用亚马逊EFS接入点的用户身份,请参阅《A mazon Elastic File System 用户指南》中的使用接入点强制使用用户份。

[EFS.5] 应EFS标记接入点

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config规则:tagged-efs-accesspoint(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 AWS 要求的标签列表 无默认值

此控件检查 Amazon EFS 接入点是否具有参数中定义的特定密钥的标签requiredTagKeys。如果接入点没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果接入点未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向EFS接入点添加标签,请参阅《Amazon Elasti c File System 用户指南》中的为亚马逊EFS资源添加标签。

[EFS.6] EFS 装载目标不应与公有子网关联

类别:保护 > 安全网络配置 > 不公开访问的资源

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-mount-target-public-accessible

计划类型:定期

参数:

此控件检查 Amazon EFS 挂载目标是否与私有子网关联。如果挂载目标与公有子网关联,则此控件将失败。

默认情况下,只能从创建文件系统的虚拟私有云 (VPC) 访问该文件系统。我们建议在无法从 Internet 访问的私有子网中创建EFS挂载目标。这有助于确保只有授权用户才能访问您的文件系统,并且不易受到未经授权的访问或攻击。

修复

创建挂载目标后,您无法更改EFS挂载目标和子网之间的关联。要将现有装载目标与其他子网关联,必须在私有子网中创建一个新的挂载目标,然后删除旧的挂载目标。有关安全组和挂载目标的信息,请参阅《Amazon Elastic File System User Guide》中的 Creating and managing mount targets and security groups

[EFS.7] EFS 文件系统应启用自动备份

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-automatic-backups-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 文件系统是否启用了自动备份。如果EFS文件系统未启用自动备份,则此控件将失败。

数据备份是系统、配置或应用程序数据的副本,与原始数据分开存储。启用定期备份有助于保护宝贵的数据免受系统故障、网络攻击或意外删除等不可预见事件的影响。拥有强大的备份策略还有助于更快地恢复、保持业务连续性,即使面对潜在的数据丢失也能倍感安心。

修复

有关 AWS Backup 用于EFS文件系统的信息,请参阅 Amazon Elastic File System 用户指南中的备份EFS文件系统

[EFS.8] 应在静态时对EFS文件系统进行加密

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-filesystem-ct-encrypted

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

kmsKeyArns

的以逗号分隔的 Amazon 资源名称 (ARNs) 列表。 AWS KMS keys如果提供,则该控件仅在使用指定KMS密钥加密EFS文件系统时才会生成PASSED结果。

StringList

有效KMS密钥 ARNs

无默认值

此控件检查 Amazon EFS 文件系统是否使用 AWS Key Management Service (AWS KMS) 加密数据。如果文件系统未加密,则此控件将失败。或者,您可以添加用于检查文件系统是否使用指定KMS密钥加密的kmsKeyArns参数。

静态数据是指存储在持久、非易失性存储介质中的数据,无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性,降低未经授权的用户访问这些数据的风险。

修复

要为新EFS文件系统启用静态加密,请参阅 Amazon Elastic File System 用户指南中的加密静态数据