选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

适用于 Amazon EFS 的 Security Hub 控件

PDF
RSS
聚焦模式
适用于 Amazon EFS 的 Security Hub 控件 - AWS Security Hub
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS[EFS.2] Amazon EFS 卷应包含在备份计划中[EFS.3] EFS 接入点应强制使用根目录[EFS.4] EFS 接入点应强制使用用户身份[EFS.5] 应标记 EFS 接入点[EFS.6] EFS 挂载目标不应与公有子网关联[EFS.7] EFS 文件系统应启用自动备份[EFS.8] 应对 EFS 文件系统进行静态加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

这些 Security Hub 控件可评估 Amazon Elastic File System(Amazon EFS)服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS

相关要求:CIS AWS 基金会基准 v3.0.0/2.4.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-encrypted-check

计划类型:定期

参数:

此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据 AWS KMS。在以下情况下,检查失败。

请注意,此控件不使用 efs-encrypted-checkKmsKeyId 参数。它只检查 Encrypted 的值。

为了为 Amazon EFS 中的敏感数据增加一层安全保护,您应该创建加密文件系统。Amazon EFS 支持静态文件系统加密。您可以在创建 Amazon EFS 文件系统时启用静态数据加密。要了解有关 Amazon EFS 加密的更多信息,请参阅 Amazon Elastic File System 用户指南中的 Amazon EFS 中的数据加密

修复

有关如何加密新的 Amazon EFS 文件系统的详细信息,请参阅 Amazon Elastic File System 用户指南中的加密静态数据

[EFS.2] Amazon EFS 卷应包含在备份计划中

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

分类:恢复 > 弹性 > 备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-in-backup-plan

计划类型:定期

参数:

此控件检查 Amazon Elastic File System (Amazon EFS) 文件系统是否已添加到 AWS Backup中的备份计划中。如果 Amazon EFS 文件系统未包含在备份计划中,控制失败。

在备份计划中包括 EFS 文件系统可帮助您保护数据免遭删除和数据丢失。

修复

要为现有 Amazon EFS 文件系统启用自动备份,请参阅 AWS Backup 开发人员指南中的入门 4:创建 Amazon EFS 自动备份

[EFS.3] EFS 接入点应强制使用根目录

相关要求: NIST.800-53.r5 AC-6(10)

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-root-directory

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 Path 值设置为 /(文件系统的默认根目录),则控制失败。

在强制执行根目录时,使用访问点的 NFS 客户端使用在访问点上配置的根目录,而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件,从而有助于限制数据访问。

修复

有关如何为 Amazon EFS 接入点强制使用根目录的说明,请参阅 Amazon Elastic File System 用户指南中的使用接入点强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

相关要求: NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-user-identity

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建 EFS 接入点时未定义 POSIX 用户身份,则此控制失败。

Amazon EFS 接入点是 EFS 文件系统中特定于应用程序的入口点,便于轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制执行用户身份(包括用户的 POSIX 组)。接入点还可以为文件系统强制执行不同的根目录,以便客户端只能访问指定目录或其子目录中的数据。

修复

要强制执行 Amazon EFS 接入点的用户身份,请参阅 Amazon Elastic File System 用户指南中的使用接入点强制使用用户身份

[EFS.5] 应标记 EFS 接入点

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config规则:tagged-efs-accesspoint(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 AWS 要求的标签列表 无默认值

此控件可检查 Amazon EFS 接入点是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果接入点没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果接入点未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向 EFS 接入点添加标签,请参阅《Amazon Elastic File System User Guide》中的 Tagging Amazon EFS resources

[EFS.6] EFS 挂载目标不应与公有子网关联

类别:保护 > 安全网络配置 > 不公开访问的资源

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-mount-target-public-accessible

计划类型:定期

参数:

此控件可检查 Amazon EFS 挂载目标是否与私有子网关联。如果挂载目标与公有子网关联,则此控件将失败。

默认情况下,只能从创建文件系统的虚拟私有云(VPC)访问该文件系统。我们建议在无法从互联网访问的私有子网中创建 EFS 挂载目标。这有助于确保只有授权用户才能访问您的文件系统,并且不易受到未经授权的访问或攻击。

修复

创建挂载目标后,无法更改 EFS 挂载目标和子网之间的关联。要将现有装载目标与其他子网关联,必须在私有子网中创建一个新的挂载目标,然后删除旧的挂载目标。有关安全组和挂载目标的信息,请参阅《Amazon Elastic File System User Guide》中的 Creating and managing mount targets and security groups

[EFS.7] EFS 文件系统应启用自动备份

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-automatic-backups-enabled

计划类型:已触发变更

参数:

此控件可检查 Amazon EFS 文件系统是否已启用自动备份。如果 EFS 文件系统未启用自动备份,则此控件将失败。

数据备份是系统、配置或应用程序数据的副本,与原始数据分开存储。启用定期备份有助于保护宝贵的数据免受系统故障、网络攻击或意外删除等不可预见事件的影响。拥有强大的备份策略还有助于更快地恢复、保持业务连续性,即使面对潜在的数据丢失也能倍感安心。

修复

有关用 AWS Backup 于 EFS 文件系统的信息,请参阅 Amazon Elastic File System 用户指南中的备份 EFS 文件系统

[EFS.8] 应对 EFS 文件系统进行静态加密

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-filesystem-ct-encrypted

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 文件系统是否使用 AWS Key Management Service (AWS KMS) 加密数据。如果文件系统未加密,则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据,无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性,降低未经授权的用户访问这些数据的风险。

修复

要为新的 EFS 文件系统启用静态加密,请参阅《Amazon Elastic File System User Guide》中的 Encrypting data at rest

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。