本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon MQ 的 Security Hub 控件
这些 AWS Security Hub 控制措施用于评估 Amazon MQ 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[MQ.2] ActiveMQ 代理应将审计日志流式传输到 CloudWatch
相关要求:NIST.800-53.r5 AU-2、.800-53.r5 AU-3、.800-53.r5 AU-12、NIST .800-53.r5 SI-4、v4.0.1/10.3.3 NIST NIST PCI DSS
类别:识别 > 日志记录
严重性:中
资源类型:AWS::AmazonMQ::Broker
AWS Config 规则:mq-cloudwatch-audit-log-enabled
计划类型:已触发变更
参数:无
此控件可检查 Amazon MQ ActiveMQ 代理是否将审计日志流式传输到亚马逊日志。 CloudWatch 如果代理不将审核日志流式传输到日 CloudWatch 志,则控制失败。
通过将 ActiveMQ 代理日志发布 CloudWatch 到日志,您可以 CloudWatch 创建警报和指标,以提高安全相关信息的可见性。
修复
要将 ActiveMQ 代理日志流式传输 CloudWatch 到日志,请参阅亚马逊 MQ 开发者指南中的为 Amazon MQ 日志配置 Amazon MQ。
[MQ.3] Amazon MQ 代理应启用次要版本自动升级
相关要求:NIST.800-53.r5 CM-3、.800-53.r5 SI-2、v4.0.1/6.3.3 NIST PCI DSS
类别:识别 > 漏洞、补丁和版本管理
严重性:低
资源类型:AWS::AmazonMQ::Broker
AWS Config 规则:mq-auto-minor-version-upgrade-enabled
计划类型:已触发变更
参数:无
此控件可检查 Amazon MQ 代理是否启用了次要版本自动升级。如果代理未启用次要版本自动升级,则此控件将失败。
由于 Amazon MQ 发布并支持新的代理引擎版本,这些更改向后兼容现有应用程序,不会弃用现有功能。代理引擎版本自动更新可保护您免受安全风险,帮助修复错误并改进功能。
注意
与次要版本自动升级关联的代理已安装最新补丁且不再受支持时,您必须采取手动操作进行升级。
修复
要为 MQ 代理启用次要版本自动升级,请参阅《Amazon MQ Developer Guide》中的 Automatically upgrading the minor engine version。
[MQ.4] 应标记 Amazon MQ 代理
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::AmazonMQ::Broker
AWS Config 规则:tagged-amazonmq-broker(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件可检查 Amazon MQ 代理是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果代理没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果代理未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon MQ 代理添加标签,请参阅《Amazon MQ Developer Guide》中的 Tagging resources。
[MQ.5] ActiveMQ 代理应使用主动/备用部署模式
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:低
资源类型:AWS::AmazonMQ::Broker
AWS Config 规则:mq-active-deployment-mode
计划类型:已触发变更
参数:无
此控件检查 Amazon MQ ActiveMQ 代理的部署模式是否设置为主动/备用。如果将单实例代理(默认启用)设置为部署模式,则控制失败。
主动/备用部署为 AWS 区域中的 Amazon MQ ActiveMQ 代理提供高可用性。主动/备用部署模式包括两个不同可用区中的两个代理实例,以冗余对配置。这些代理与应用程序同步通信,这可以减少发生故障时的停机时间和数据丢失。
修复
要创建具有主动/备用部署模式的新 ActiveMQ 代理,请参阅 Amazon MQ 开发人员指南中的创建和配置 ActiveMQ 代理。对于部署模式,选择主动/备用代理。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。
[MQ.6] RabbitMQ 代理应该使用集群部署模式
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:低
资源类型:AWS::AmazonMQ::Broker
AWS Config 规则:mq-rabbit-deployment-mode
计划类型:已触发变更
参数:无
此控件检查 Amazon MQ RabbitMQ 代理的部署模式是否设置为集群部署。如果将单实例代理(默认启用)设置为部署模式,则控制失败。
集群部署为 AWS 区域中的 Amazon MQ RabbitMQ 代理提供了高可用性。集群部署是由三个 RabbitMQ 代理节点组成的逻辑分组,每个节点都有自己的亚马逊弹性区块存储 (AmazonEBS) 卷和共享状态。集群部署确保数据被复制到集群中的所有节点,这可以减少故障时的停机时间和数据丢失。
修复
要创建具有集群部署模式的新 RabbitMQ 代理,请参阅 Amazon MQ 开发人员指南中的创建和连接 RabbitMQ 代理。对于部署模式,选择集群部署。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。
