Amazon 的 Security Hub 控制項 EFS - AWS Security Hub
【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS【EFS.2】 Amazon EFS磁碟區應處於備份計劃中【EFS.3】 EFS存取點應強制執行根目錄【EFS.4】 EFS存取點應強制執行使用者身分【EFS.5】 EFS存取點應加上標籤【EFS.6】 EFS掛載目標不應與公有子網路相關聯【EFS.7】 EFS 檔案系統應該已啟用自動備份【EFS.8】 EFS 檔案系統應靜態加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的 Security Hub 控制項 EFS

這些 Security Hub 控制項會評估 Amazon Elastic File System (Amazon EFS) 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS

相關要求:CIS AWS 基礎基準 3.0.0/2.4.1、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

類別:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型: AWS::EFS::FileSystem

AWS Config 規則:efs-encrypted-check

排程類型:定期

參數:

此控制項會檢查 Amazon Elastic File System 是否設定為使用 加密檔案資料 AWS KMS。檢查會在下列情況下失敗。

請注意,此控制項不會使用 的 KmsKeyId 參數efs-encrypted-check。其只會檢查 Encrypted 的值。

若要為 Amazon 中的敏感資料增加一層安全性EFS,您應該建立加密的檔案系統。Amazon EFS支援靜態檔案系統的加密。您可以在建立 Amazon EFS 檔案系統時啟用靜態資料的加密。若要進一步了解 Amazon EFS加密,請參閱《Amazon Amazon Elastic File System 使用者指南》中的 Amazon 中的資料加密EFS

修補

如需如何加密新 Amazon EFS 檔案系統的詳細資訊,請參閱《Amazon Elastic File System 使用者指南》中的加密靜態資料

【EFS.2】 Amazon EFS磁碟區應處於備份計劃中

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

類別:復原 > 復原能力 > 備份

嚴重性:

資源類型: AWS::EFS::FileSystem

AWS Config 規則:efs-in-backup-plan

排程類型:定期

參數:

此控制項會檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否新增至 中的備份計劃 AWS Backup。如果備份計劃中未包含 Amazon EFS 檔案系統,則控制項會失敗。

在備份計劃中包含EFS檔案系統可協助您保護資料免於刪除和資料遺失。

修補

若要啟用現有 Amazon EFS 檔案系統的自動備份,請參閱《 AWS Backup 開發人員指南》中的入門 4:建立 Amazon EFS自動備份

【EFS.3】 EFS存取點應強制執行根目錄

相關要求: NIST.800-53.r5 AC-6(10)

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::EFS::AccessPoint

AWS Config 規則:efs-access-point-enforce-root-directory

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon EFS存取點是否設定為強制執行根目錄。如果 的值Path設為 /(檔案系統的預設根目錄),則控制項會失敗。

當您強制執行根目錄時,使用存取點的NFS用戶端會使用存取點上設定的根目錄,而不是檔案系統的根目錄。強制執行存取點的根目錄有助於限制資料存取,方法是確保存取點的使用者只能存取指定子目錄的檔案。

修補

如需如何強制執行 Amazon EFS存取點根目錄的說明,請參閱《Amazon Elastic File System 使用者指南》中的使用存取點強制執行根目錄

【EFS.4】 EFS存取點應強制執行使用者身分

相關要求: NIST.800-53.r5 AC-6(2), PCI DSS v4.0.1/7.3.1

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::EFS::AccessPoint

AWS Config 規則:efs-access-point-enforce-user-identity

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon EFS存取點是否設定為強制執行使用者身分。如果建立EFS存取點時未定義POSIX使用者身分,則此控制項會失敗。

Amazon EFS存取點是EFS檔案系統的應用程式特定進入點,可讓您更輕鬆地管理共用資料集的應用程式存取。對於透過存取點提出的所有檔案系統請求POSIX,存取點可以強制執行使用者身分,包括使用者群組。存取點也可以針對檔案系統強制執行不同的根目錄,讓用戶端只能存取指定目錄或其子目錄中的資料。

修補

若要強制執行 Amazon EFS存取點的使用者身分,請參閱《Amazon Elastic File System 使用者指南》中的使用存取點強制執行使用者身分

【EFS.5】 EFS存取點應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::EFS::AccessPoint

AWS Config rule:tagged-efs-accesspoint(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 Amazon EFS存取點是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果存取點沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果存取點未使用任何金鑰標記,則 控制會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC是 AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考

修補

若要將標籤新增至EFS存取點,請參閱《Amazon Elastic File System 使用者指南》中的標記 Amazon EFS 資源Amazon Elastic File System

【EFS.6】 EFS掛載目標不應與公有子網路相關聯

類別:保護 > 安全網路組態 > 資源不可公開存取

嚴重性:

資源類型: AWS::EFS::FileSystem

AWS Config 規則:efs-mount-target-public-accessible

排程類型:定期

參數:

此控制項會檢查 Amazon EFS掛載目標是否與私有子網路相關聯。如果掛載目標與公有子網路相關聯,則控制項會失敗。

根據預設,檔案系統只能從您建立它的虛擬私有雲端 (VPC) 存取。建議您在無法從網際網路存取的私有子網路中建立EFS掛載目標。這有助於確保您的檔案系統只有授權使用者才能存取,且不會容易受到未經授權的存取或攻擊。

修補

您無法在建立EFS掛載目標後變更掛載目標與子網路之間的關聯。若要將現有的掛載目標與不同的子網路建立關聯,您必須在私有子網路中建立新的掛載目標,然後移除舊的掛載目標。如需有關管理掛載目標的資訊,請參閱《Amazon Elastic File System 使用者指南》中的建立和管理掛載目標和安全群組

【EFS.7】 EFS 檔案系統應該已啟用自動備份

類別:復原 > 恢復 > 備份已啟用

嚴重性:

資源類型: AWS::EFS::FileSystem

AWS Config 規則:efs-automatic-backups-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon EFS 檔案系統是否已啟用自動備份。如果EFS檔案系統未啟用自動備份,則此控制會失敗。

資料備份是系統、組態或應用程式資料的複本,與原始資料分開存放。啟用定期備份可協助您保護寶貴的資料,避免發生意外事件,例如系統故障、網路攻擊或意外刪除。擁有強大的備份策略,也能在面臨潛在的資料遺失時,加快復原速度、提高業務持續性和安心。

修補

如需使用 AWS Backup 做為EFS檔案系統的相關資訊,請參閱《Amazon Elastic EFS File System 使用者指南》中的備份檔案系統 Amazon Elastic File System

【EFS.8】 EFS 檔案系統應靜態加密

類別:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型: AWS::EFS::FileSystem

AWS Config 規則:efs-filesystem-ct-encrypted

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

kmsKeyArns

的 Amazon Resource Name (ARNs) 逗號分隔清單 AWS KMS keys。如果提供,則只有在EFS檔案系統使用指定的KMS金鑰加密時,控制項才會產生PASSED問題清單。

StringList

有效KMS金鑰 ARNs

無預設值

此控制項會檢查 Amazon EFS 檔案系統是否使用 AWS Key Management Service () 加密資料AWS KMS。如果未加密檔案系統,則控制項會失敗。或者,您可以包含 kmsKeyArns 參數,以檢查檔案系統是否使用指定的KMS金鑰加密。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性,進而降低未經授權的使用者可存取資料的風險。

修補

若要為新的EFS檔案系統啟用靜態加密,請參閱《Amazon Elastic File System 使用者指南》中的加密靜態資料