本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 EFS
这些 Security Hub 控件评估亚马逊弹性文件系统(亚马逊EFS)的服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS
相关要求:CIS AWS Foundations Benchmark v3.0.0/2.4.1、 NIST.800-53.r5 CA-9 (1)、(1)、( NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1)、(10)、.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-encrypted-check
计划类型:定期
参数:无
此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据 AWS KMS。 在以下情况下,检查失败。
-
在
DescribeFileSystems
响应中Encrypted
设置为false
。 -
DescribeFileSystems
响应中的KmsKeyId
密钥与efs-encrypted-check
的KmsKeyId
参数不匹配。
请注意,此控件不使用 efs-encrypted-check
的 KmsKeyId
参数。它只检查 Encrypted
的值。
为了为您的Amazon中的敏感数据增加一层安全保护EFS,您应该创建加密的文件系统。Amazon EFS 支持对静态文件系统进行加密。创建 Amazon EFS 文件系统时,您可以启用静态数据加密。要了解有关亚马逊EFS加密的更多信息,请参阅亚马逊 Elasti c File System 用户指南EFS中的亚马逊数据加密。
修复
有关如何加密新的 Amazon EFS 文件系统的详细信息,请参阅 Amazon El astic F ile System 用户指南中的加密静态数据。
[EFS.2] Amazon EFS 卷应包含在备份计划中
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST
分类:恢复 > 弹性 > 备份
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-in-backup-plan
计划类型:定期
参数:无
此控件可检查是否将 Amazon Elastic File System File System (AmazonEFS) 文件系统添加到中的备份计划中 AWS Backup。 如果 Amazon EFS 文件系统未包含在备份计划中,则控制失败。
在备份计划中包括EFS文件系统可以帮助您保护数据免遭删除和数据丢失。
修复
要为现有 Amazon EFS 文件系统启用自动备份,请参阅入门 4:创建 Amazon EFS 自动备份 AWS Backup 开发者指南。
[EFS.3] EFS 接入点应强制使用根目录
相关要求: NIST.800-53.r5 AC-6(10)
类别:保护 > 安全访问管理
严重性:中
资源类型:AWS::EFS::AccessPoint
AWS Config 规则:efs-access-point-enforce-root-directory
计划类型:已触发变更
参数:无
此控件会检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 Path
值设置为 /
(文件系统的默认根目录),则控制失败。
强制使用根目录时,使用接入点的NFS客户端使用在接入点上配置的根目录,而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件,从而有助于限制数据访问。
修复
有关如何为亚马逊EFS接入点强制使用根目录的说明,请参阅《Amazon El asti c File System 用户指南》中的 “使用接入点强制使用根目录”。
[EFS.4] EFS 接入点应强制使用用户身份
相关要求: NIST.800-53.r5 AC-6(2)
类别:保护 > 安全访问管理
严重性:中
资源类型:AWS::EFS::AccessPoint
AWS Config 规则:efs-access-point-enforce-user-identity
计划类型:已触发变更
参数:无
此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建EFS接入点时未定义POSIX用户身份,则此控件将失败。
Amazon EFS 接入点是EFS文件系统中应用程序特定的入口点,可以更轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制使用用户身份,包括用户的POSIX群组。接入点还可以为文件系统强制执行不同的根目录,以便客户端只能访问指定目录或其子目录中的数据。
修复
要强制使用亚马逊EFS接入点的用户身份,请参阅《A mazon Elastic File System 用户指南》中的使用接入点强制使用用户身份。
[EFS.5] 应EFS标记接入点
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EFS::AccessPoint
AWS Config规则:tagged-efs-accesspoint
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon EFS 接入点是否具有参数中定义的特定密钥的标签requiredTagKeys
。如果接入点没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果接入点未使用任何密钥标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向EFS接入点添加标签,请参阅《Amazon Elasti c File System 用户指南》中的为亚马逊EFS资源添加标签。
[EFS.6] 不应将EFS装载目标与公有子网关联
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-mount-target-public-accessible
计划类型:定期
参数:无
此控件检查 Amazon EFS 挂载目标是否与私有子网关联。如果挂载目标与公有子网关联,则控制失败。
默认情况下,只能从创建文件系统的虚拟私有云 (VPC) 访问该文件系统。我们建议在无法从 Internet 访问的私有子网中创建EFS挂载目标。这有助于确保只有经过授权的用户才能访问您的文件系统,并且不会受到未经授权的访问或攻击。
修复
创建挂载目标后,您无法更改EFS挂载目标和子网之间的关联。要将现有装载目标与其他子网关联,您必须在私有子网中创建一个新的挂载目标,然后移除旧的挂载目标。有关管理挂载目标的信息,请参阅 Amazon Elastic File System 用户指南中的创建和管理挂载目标和安全组。
[EFS.7] EFS 文件系统应启用自动备份
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::EFS::FileSystem
AWS Config 规则:efs-automatic-backups-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon EFS 文件系统是否启用了自动备份。如果EFS文件系统未启用自动备份,则此控件将失败。
数据备份是您的系统、配置或应用程序数据的副本,与原始数据分开存储。启用定期备份可以帮助您保护宝贵的数据免受系统故障、网络攻击或意外删除等不可预见的事件的影响。拥有强大的备份策略还有助于更快地恢复、保持业务连续性,并在可能丢失数据时高枕无忧。
修复
有关使用的信息 AWS Backup 对于EFS文件系统,请参阅 Amazon E EFSlastic File System 用户指南中的备份文件系统