本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Transfer Family 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 AWS Transfer Family 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【Transfer.1】 AWS Transfer Family 工作流程應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Workflow
AWS Config rule:tagged-transfer-workflow(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS Transfer Family 工作流程是否具有具有參數 中定義之特定索引鍵的標籤requiredTagKeys。如果工作流程沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果工作流程未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC是 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
將標籤新增至 Transfer Family 工作流程 (主控台)
開啟 AWS Transfer Family 主控台。
在導覽窗格中,選擇工作流程。然後,選取您要標記的工作流程。
選擇管理標籤,然後新增標籤。
【Transfer.2】 Transfer Family 伺服器不應使用FTP通訊協定進行端點連線
相關要求: NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 NIST.800-53.r5 SC-8,PCIDSSv4.0.1/4.2.1
類別:保護 > 資料保護 > 加密 data-in-transit
嚴重性:中
資源類型: AWS::Transfer::Server
AWS Config 規則:transfer-family-server-no-ftp
排程類型:定期
參數:無
此控制項會檢查 AWS Transfer Family 伺服器是否使用FTP端點連線以外的通訊協定。如果伺服器使用 FTP 通訊協定讓用戶端連線到伺服器的端點,則控制項會失敗。
FTP (檔案傳輸通訊協定) 透過未加密的頻道建立端點連線,讓透過這些頻道傳送的資料容易遭到攔截。使用 SFTP (SSH 檔案傳輸通訊協定)、 FTPS (檔案傳輸通訊協定安全) 或 AS2(適用性陳述式 2) 透過加密傳輸中的資料,提供額外的安全層,並可用來協助防止潛在攻擊者使用 person-in-the-middle 或類似的攻擊來竊聽或控制網路流量。
修補
若要修改 Transfer Family 伺服器的通訊協定,請參閱 AWS Transfer Family 使用者指南中的編輯檔案傳輸通訊協定。
