Auto Scaling 的 Security Hub 控制項 - AWS Security Hub
【AutoScaling.1】 與負載平衡器相關聯的 Auto Scaling 群組應使用ELB運作狀態檢查【AutoScaling.2】 Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域【AutoScaling.3】 Auto Scaling 群組啟動組態應設定EC2執行個體,以要求執行個體中繼資料服務第 2 版 (IMDSv2)【AutoScaling.4】 Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2執行個體不應具有公有 IP 地址【AutoScaling.6】 Auto Scaling 群組應在多個可用區域中使用多個執行個體類型【AutoScaling.9】 Amazon EC2 Auto Scaling 群組應使用 Amazon EC2啟動範本【AutoScaling.10】 EC2 Auto Scaling 群組應加上標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Auto Scaling 的 Security Hub 控制項

這些 Security Hub 控制項會評估 Amazon EC2 Auto Scaling 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【AutoScaling.1】 與負載平衡器相關聯的 Auto Scaling 群組應使用ELB運作狀態檢查

相關要求:PCIDSSv3.2.1/2.2 NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

類別:識別 > 清查

嚴重性:

資源類型: AWS::AutoScaling::AutoScalingGroup

AWS Config 規則:autoscaling-group-elb-healthcheck-required

排程類型:已觸發變更

參數:

此控制項會檢查與負載平衡器相關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing (ELB) 運作狀態檢查。如果 Auto Scaling 群組不使用ELB運作狀態檢查,則控制項會失敗。

ELB 運作狀態檢查有助於確保 Auto Scaling 群組可以根據負載平衡器提供的其他測試來判斷執行個體的運作狀態。使用 Elastic Load Balancing 運作狀態檢查也有助於支援使用 EC2 Auto Scaling 群組的應用程式可用性。

修補

若要新增 Elastic Load Balancing 運作狀態檢查,請參閱《Amazon EC2 Auto Scaling 使用者指南》中的新增 Elastic Load Balancing 運作狀態檢查

【AutoScaling.2】 Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

類別:復原 > 彈性 > 高可用性

嚴重性:

資源類型: AWS::AutoScaling::AutoScalingGroup

AWS Config 規則:autoscaling-multiple-az

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

minAvailabilityZones

可用區域數目下限

列舉

2, 3, 4, 5, 6

2

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否至少跨越指定數量的可用區域 (AZs)。如果 Auto Scaling 群組的跨度未達指定的 數目,則控制項會失敗AZs。除非您為最小數量的 提供自訂參數值AZs,否則 Security Hub 會使用兩個 的預設值AZs。

不跨越多個 的 Auto Scaling 群組AZs無法在另一個 AZ 中啟動執行個體,以在設定的單一 AZ 無法使用時予以補償。不過,在某些使用案例中,例如批次工作或需要將跨可用區域傳輸成本保持在最低限度時,可能會偏好具有單一可用區域的 Auto Scaling 群組。在這種情況下,您可以停用此控制項或隱藏其調查結果。

修補

若要AZs新增至現有的 Auto Scaling 群組,請參閱《Amazon EC2 Auto Scaling 使用者指南》中的新增和移除可用區域

【AutoScaling.3】 Auto Scaling 群組啟動組態應設定EC2執行個體,以要求執行個體中繼資料服務第 2 版 (IMDSv2)

相關要求: NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCIDSSv4.0.1/2.2.6

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::AutoScaling::LaunchConfiguration

AWS Config 規則:autoscaling-launchconfig-requires-imdsv2

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon EC2 Auto Scaling 群組啟動的所有執行個體是否IMDSv2已啟用 。如果啟動組態中未包含執行個體中繼資料服務 (IMDS) 版本,或設定為 ,則控制項會失敗token optional,這是允許 IMDSv1或 的設定IMDSv2。

IMDS 提供執行個體的資料,您可以用來設定或管理執行中的執行個體。

第 2 版IMDS新增了 中無法使用的新保護IMDSv1,以進一步保護您的EC2執行個體。

修補

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態,請使用現有的啟動組態做為IMDSv2啟用 的新啟動組態的基礎。如需詳細資訊,請參閱《Amazon EC2使用者指南》中的設定新執行個體的執行個體中繼資料選項

【AutoScaling.4】 Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1

重要

Security Hub 已於 2024 年 4 月淘汰此控制項。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌

相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::AutoScaling::LaunchConfiguration

AWS Config 規則:autoscaling-launch-config-hop-limit

排程類型:已觸發變更

參數:

此控制項會檢查中繼資料字符可以移動的網路躍點數量。如果中繼資料回應跳轉限制大於 ,則控制項會失敗1

Instance Metadata Service (IMDS) 提供 Amazon EC2執行個體的中繼資料資訊,對於應用程式組態很有用。將中繼資料服務的HTTPPUT回應限制為僅EC2執行個體可保護 IMDS免於未經授權的使用。

IP 封包中的存留時間 (TTL) 欄位在每個躍點上減少一個。此縮減可用來確保封包不會在 外部移動EC2。 會IMDSv2保護可能已錯誤設定為開放路由器、第 3 層防火牆、、VPNs通道或NAT裝置的EC2執行個體,以防止未經授權的使用者擷取中繼資料。使用 時IMDSv2,包含秘密權杖的PUT回應無法在執行個體之外移動,因為預設中繼資料回應跳轉限制設定為 1。不過,如果此值大於 1,權杖可以離開EC2執行個體。

修補

若要修改現有啟動組態的中繼資料回應跳轉限制,請參閱《Amazon EC2使用者指南》中的修改現有執行個體的執行個體中繼資料選項

【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2執行個體不應具有公有 IP 地址

相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、PCIDSSv4.0.1/1.4.4

類別:保護 > 安全網路組態 > 資源不可公開存取

嚴重性:

資源類型: AWS::AutoScaling::LaunchConfiguration

AWS Config 規則:autoscaling-launch-config-public-ip-disabled

排程類型:已觸發變更

參數:

此控制項會檢查 Auto Scaling 群組相關聯的啟動組態是否將公有 IP 地址指派給群組的執行個體。如果相關聯的啟動組態指派公有 IP 地址,則控制項會失敗。

Auto Scaling 群組啟動組態中的 Amazon EC2執行個體不應具有相關聯的公有 IP 地址,但在有限的邊緣情況下除外。Amazon EC2執行個體應只能從負載平衡器後方存取,而不是直接公開至網際網路。

修補

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態,請使用現有啟動組態作為新啟動組態的基礎。然後更新 Auto Scaling 群組,以便使用新啟動組態。如需 step-by-step說明,請參閱《Amazon Auto Scaling 使用者指南》中的變更 Auto Scaling 群組的啟動組態 EC2 Auto Scaling 建立新的啟動組態時,請在其他組態下,針對進階詳細資訊、IP 地址類型,選擇不要將公有 IP 地址指派給任何執行個體

變更啟動組態後,Auto Scaling 會使用新的組態選項啟動新的執行個體。現有的執行個體不會受到影響。若要更新現有的執行個體,建議您重新整理執行個體,或允許自動擴展,以根據您的終止政策逐漸將較舊的執行個體取代為較新的執行個體。如需更新 Auto Scaling 執行個體的詳細資訊,請參閱《Amazon Auto Scaling 使用者指南》中的更新 Auto Scaling 執行個體 EC2 Auto Scaling

【AutoScaling.6】 Auto Scaling 群組應在多個可用區域中使用多個執行個體類型

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

類別:復原 > 彈性 > 高可用性

嚴重性:

資源類型: AWS::AutoScaling::AutoScalingGroup

AWS Config 規則:autoscaling-multiple-instance-types

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否使用多個執行個體類型。如果 Auto Scaling 群組只定義一個執行個體類型,則控制項會失敗。

您可以將應用程式部署於在多個可用區域執行的多種執行個體類型之間,以增強可用性。Security Hub 建議使用多個執行個體類型,以便在您選擇的可用區域中執行個體容量不足時,Auto Scaling 群組可以啟動另一個執行個體類型。

修補

若要建立具有多個執行個體類型的 Auto Scaling 群組,請參閱《Amazon Auto Scaling 使用者指南》中的具有多個執行個體類型和購買選項的 Auto Scaling 群組 EC2 Auto Scaling

【AutoScaling.9】 Amazon EC2 Auto Scaling 群組應使用 Amazon EC2啟動範本

相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

類別:識別 > 資源組態

嚴重性:

資源類型: AWS::AutoScaling::AutoScalingGroup

AWS Config 規則:autoscaling-launch-template

排程類型:已觸發變更

參數:

此控制項會檢查是否從EC2啟動範本建立 Amazon EC2 Auto Scaling 群組。如果未使用啟動範本建立 Amazon EC2 Auto Scaling 群組,或未在混合執行個體政策中指定啟動範本,則此控制項會失敗。

EC2 Auto Scaling 群組可以從EC2啟動範本或啟動組態建立。不過,使用啟動範本來建立 Auto Scaling 群組,可確保您可以存取最新的功能和改進。

修補

若要使用EC2啟動範本建立 Auto Scaling 群組,請參閱《Amazon Auto Scaling 使用者指南》中的使用啟動範本建立 Auto Scaling 群組 EC2 Auto Scaling 如需如何以啟動範本取代啟動組態的詳細資訊,請參閱《Amazon EC2使用者指南》中的以啟動範本取代啟動組態

【AutoScaling.10】 EC2 Auto Scaling 群組應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::AutoScaling::AutoScalingGroup

AWS Config rule:tagged-autoscaling-autoscalinggroup(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 Auto Scaling 群組沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 Auto Scaling 群組未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC是 AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考

修補

若要將標籤新增至 Auto Scaling 群組,請參閱《Amazon Auto Scaling 使用者指南》中的標籤 Auto Scaling 群組和執行個體 EC2 Auto Scaling