

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EFS 的 Security Hub CSPM 控制項
<a name="efs-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Elastic File System (Amazon EFS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS
<a name="efs-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.3.1、CIS AWS Foundations Benchmark v3.0.0/2.4.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic File System 是否設定為使用 加密檔案資料 AWS KMS。檢查會在下列情況下失敗。
+ `Encrypted` 在[https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)回應`false`中設定為 。
+ [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) 回應中的`KmsKeyId`金鑰與 的 `KmsKeyId` 參數不相符[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)。

請注意，此控制項不會針對 使用 `KmsKeyId` 參數[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)。其只會檢查 `Encrypted` 的值。

若要為 Amazon EFS 中的敏感資料增加一層安全性，您應該建立加密的檔案系統。Amazon EFS 支援靜態檔案系統的加密。您可以在建立 Amazon EFS 檔案系統時啟用靜態資料的加密。若要進一步了解 Amazon EFS 加密，請參閱《Amazon *Amazon Elastic File System 使用者指南*》中的 Amazon[ EFS 中的資料加密](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。

### 修補
<a name="efs-1-remediation"></a>

如需如何加密新 Amazon EFS 檔案系統的詳細資訊，請參閱《*Amazon Elastic File System 使用者指南*》中的[加密靜態資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。

## 【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中
<a name="efs-2"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 備份

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否新增至 中的備份計劃 AWS Backup。如果備份計畫中未包含 Amazon EFS 檔案系統，則控制項會失敗。

在備份計畫中包含 EFS 檔案系統可協助您保護資料免於刪除和資料遺失。

### 修補
<a name="efs-2-remediation"></a>

若要啟用現有 Amazon EFS 檔案系統的自動備份，請參閱《 *AWS Backup 開發人員指南*》中的[入門 4：建立 Amazon EFS 自動備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html)。

## 【EFS.3】 EFS 存取點應強制執行根目錄
<a name="efs-3"></a>

**相關需求：**NIST.800-53.r5 AC-6(10)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 存取點是否已設定為強制執行根目錄。如果 的值`Path`設為 `/`（檔案系統的預設根目錄），則控制項會失敗。

強制執行根目錄時，使用存取點的 NFS 用戶端會使用存取點上設定的根目錄，而不是檔案系統的根目錄。強制執行存取點的根目錄有助於透過確保存取點的使用者只能存取指定子目錄的檔案來限制資料存取。

### 修補
<a name="efs-3-remediation"></a>

如需如何強制執行 Amazon EFS 存取點根目錄的說明，請參閱《*Amazon Elastic File System 使用者指南*》中的[使用存取點強制執行根目錄](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point)。

## 【EFS.4】 EFS 存取點應強制執行使用者身分
<a name="efs-4"></a>

**相關要求：**NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 存取點是否設定為強制執行使用者身分。如果在建立 EFS 存取點時未定義 POSIX 使用者身分，則此控制項會失敗。

Amazon EFS 存取點是應用程式特定的 EFS 檔案系統進入點，此進入點可讓您更輕鬆地管理共用資料集的應用程式存取。存取點可以針對透過存取點發出的所有檔案系統請求，強制執行使用者身分 (包括使用者的 POSIX 群組)。存取點也可以針對檔案系統強制執行不同的根目錄，讓用戶端只能存取指定目錄或其子目錄中的資料。

### 修補
<a name="efs-4-remediation"></a>

若要強制執行 Amazon EFS 存取點的使用者身分，請參閱《*Amazon Elastic File System 使用者指南*》中的[使用存取點強制執行使用者身分](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points)。

## 【EFS.5】 EFS 存取點應加上標籤
<a name="efs-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config rule：**`tagged-efs-accesspoint`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EFS 存取點是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果存取點沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果存取點未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="efs-5-remediation"></a>

若要將標籤新增至 EFS 存取點，請參閱《[Amazon Elastic File System 使用者指南》中的標記 Amazon EFS 資源](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html)。 *Amazon Elastic File System *

## 【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯
<a name="efs-6"></a>

**類別：**保護 > 網路安全 > 資源不可公開存取

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon EFS 掛載目標是否與在啟動時指派公有 IP 地址的子網路相關聯。如果掛載目標與在啟動時指派公有 IP 地址的子網路相關聯，則控制項會失敗。

子網路具有屬性，可判斷網路介面是否自動接收公有 IPv4 和 IPv6 地址。對於 IPv4，對於`TRUE`預設子網路和非預設子網路`FALSE`，此屬性設定為 （透過 EC2 啟動執行個體精靈建立的非預設子網路除外，其設定為 `TRUE`)。對於 IPv6，此屬性預設為所有子網路`FALSE`的 。啟用這些屬性時，在子網路中啟動的執行個體會自動在其主要網路界面上接收對應的 IP 地址 (IPv4 或 IPv6)。在已啟用此屬性的子網路中啟動的 Amazon EFS 掛載目標，具有指派給其主要網路介面的公有 IP 地址。

### 修補
<a name="efs-6-remediation"></a>

若要將現有的掛載目標與不同的子網路建立關聯，您必須在子網路中建立新的掛載目標，該子網路不會在啟動時指派公有 IP 地址，然後移除舊的掛載目標。如需有關管理掛載目標的資訊，請參閱《*Amazon Elastic File System 使用者指南*》中的[建立和管理掛載目標和安全群組](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)。

## 【EFS.7】 EFS 檔案系統應該啟用自動備份
<a name="efs-7"></a>

**類別：**復原 > 恢復 > 備份已啟用

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 檔案系統是否已啟用自動備份。如果 EFS 檔案系統未啟用自動備份，則此控制會失敗。

資料備份是系統、組態或應用程式資料的複本，與原始資料分開存放。啟用定期備份可協助您保護寶貴的資料，避免發生意外事件，例如系統故障、網路攻擊或意外刪除。擁有強大的備份策略也有助於更快速的復原、業務連續性和在面臨潛在的資料遺失時安心。

### 修補
<a name="efs-7-remediation"></a>

如需有關使用 AWS Backup for EFS 檔案系統的資訊，請參閱《Amazon Elastic [File System 使用者指南》中的備份 EFS ](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) 檔案系統。 *Amazon Elastic File System *

## 【EFS.8】 EFS 檔案系統應靜態加密
<a name="efs-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.3.1

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 檔案系統是否使用 AWS Key Management Service () 加密資料AWS KMS。如果未加密檔案系統，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="efs-8-remediation"></a>

若要為新的 EFS 檔案系統啟用靜態加密，請參閱《*Amazon Elastic File System 使用者指南*》中的[加密靜態資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。