View a markdown version of this page

适用于亚马逊 MQ 的 Security Hub CSPM 控件 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊 MQ 的 Security Hub CSPM 控件

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon MQ 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[MQ.2] ActiveMQ 代理应将审核日志流式传输到 CloudWatch

相关要求: NIST.800-53.r5 AU-2、、、 NIST.800-53.r5 AU-3 NIST.800-53.r5 AU-12 NIST.800-53.r5 SI-4、PCI DSS v4.0。 1/10.3.3

类别:识别 > 日志记录

严重性:

资源类型:AWS::AmazonMQ::Broker

AWS Config 规则:mq-cloudwatch-audit-log-enabled

计划类型:已触发变更

参数:

此控件可检查 Amazon MQ ActiveMQ 代理是否将审计日志流式传输到亚马逊日志。 CloudWatch 如果代理不将审核日志流式传输到日 CloudWatch 志,则控制失败。

通过将 ActiveMQ 代理日志发布 CloudWatch 到日志,您可以 CloudWatch 创建警报和指标,以提高安全相关信息的可见性。

修复

要将 ActiveMQ 代理日志流式传输 CloudWatch 到日志,请参阅亚马逊 MQ 开发者指南中的为 Amazon MQ 日志配置 Amazon MQ

[MQ.4] 应给亚马逊 MQ 经纪人加标签

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::AmazonMQ::Broker

AWS Config 规则:tagged-amazonmq-broker(自定义 Security Hub CSPM 规则)

计划类型:已触发变更

参数:

参数 说明 Type 允许的自定义值 Security Hub CSPM 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 StringList (最多 6 件商品) 1-6 个符合 AWS 要求的标签键。 No default value

此控件可检查 Amazon MQ 代理是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果代理没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果代理未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向 Amazon MQ 代理添加标签,请参阅《Amazon MQ Developer Guide》中的 Tagging resources

[MQ.5] ActiveMQ 代理应使用部署模式 active/standby

相关要求: NIST.800-53.r5 CP-10、 NIST.800-53.r5 CP-6 (2)、(2) NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、 NIST.800-53.r5 SI-13 (5)

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::AmazonMQ::Broker

AWS Config 规则:mq-active-deployment-mode

计划类型:已触发变更

参数:

此控件会检查 Amazon MQ ActiveMQ 代理的部署模式是否设置为。 active/standby如果将单实例代理(默认启用)设置为部署模式,则控制失败。

Active/standby 部署为你的 Amazon MQ ActiveMQ 代理提供了高可用性。 AWS 区域 active/standby 部署模式包括位于两个不同可用区的两个代理实例,它们配置为冗余对。这些代理与应用程序同步通信,这可以减少发生故障时的停机时间和数据丢失。

修复

要使用部署模式创建新 ActiveMQ 代理 active/standby ,请参阅亚马逊 MQ 开发者指南中的创建和配置 ActiveMQ 代理。对于部署模式,请选择Active/standby 代理。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。

[MQ.6] RabbitMQ 代理应使用集群部署模式

相关要求: NIST.800-53.r5 CP-10、 NIST.800-53.r5 CP-6 (2)、(2) NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、 NIST.800-53.r5 SI-13 (5)

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::AmazonMQ::Broker

AWS Config 规则:mq-rabbit-deployment-mode

计划类型:已触发变更

参数:

此控件检查 Amazon MQ RabbitMQ 代理的部署模式是否设置为集群部署。如果将单实例代理(默认启用)设置为部署模式,则控制失败。

集群部署为 AWS 区域中的 Amazon MQ RabbitMQ 代理提供了高可用性。集群部署是三个 RabbitMQ 代理节点的逻辑分组,每个节点都有自己的 Amazon Elastic Block Store(Amazon EBS)卷和共享状态。集群部署确保数据被复制到集群中的所有节点,这可以减少故障时的停机时间和数据丢失。

修复

要创建具有集群部署模式的新 RabbitMQ 代理,请参阅 Amazon MQ 开发人员指南中的创建和连接 RabbitMQ 代理。对于部署模式,选择集群部署。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。