Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub Hub-Kontrollen für Amazon CloudFront

Diese AWS Security Hub Kontrollen bewerten den CloudFront Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[CloudFront.1] Für CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-default-root-object-configured

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Stammobjekt ist. Die Steuerung schlägt fehl, wenn für die CloudFront Verteilung kein Standard-Root-Objekt konfiguriert ist.

Ein Benutzer kann manchmal die Stamm-URL der Distribution anstelle eines Objekts in der Verteilung anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden.

Abhilfe

Informationen zur Konfiguration eines Standard-Root-Objekts für eine CloudFront Distribution finden Sie unter How to specify a default root object im Amazon CloudFront Developer Guide.

[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-viewer-policy-https

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution erfordert, dass Zuschauer HTTPS direkt verwenden, oder ob sie eine Umleitung verwendet. Die Steuerung schlägt fehl, wenn sie auf allow-all für defaultCacheBehavior oder für cacheBehaviors gesetzt ViewerProtocolPolicy ist.

HTTPS (TLS) kann verwendet werden, um potenzielle Angreifer daran zu hindern, potenzielle Angreifer daran zu hindern, potenzielle Angreifer daran zu hindern, potenzielle Angreifer daran zu hindern, person-in-the-middle oder ähnliche Angriffe zu nutzen, um den Netzwerkverkehr abzuhören oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.

Abhilfe

Informationen zum Verschlüsseln einer CloudFront Verteilung während der Übertragung finden Sie unter HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront im Amazon CloudFront Developer Guide.

[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

Schweregrad: Niedrig

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-origin-failover-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution mit einer Ursprungsgruppe konfiguriert ist, die zwei oder mehr Ursprünge hat.

CloudFront Origin-Failover kann die Verfügbarkeit erhöhen. Der Ursprungs-Failover leitet den Datenverkehr automatisch an einen sekundären Ursprung um, wenn der primäre Ursprung nicht verfügbar ist oder bestimmte HTTP-Antwortstatuscodes zurückgibt.

Abhilfe

Informationen zur Konfiguration des Origin-Failovers für eine CloudFront Distribution finden Sie unter Creating an Origin Group im Amazon CloudFront Developer Guide.

[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-accesslogs-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung auf CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. Dieses Steuerelement bewertet nur, ob die Standardprotokollierung (Legacy) für eine Verteilung aktiviert ist.

CloudFront Zugriffsprotokolle liefern detaillierte Informationen über jede eingehende CloudFront Benutzeranfrage. Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Weitere Informationen zur Analyse von Zugriffsprotokollen finden Sie unter CloudFront Amazon-Protokolle abfragen im Amazon Athena-Benutzerhandbuch.

Abhilfe

Informationen zur Konfiguration der Standardprotokollierung (Legacy) für eine CloudFront Distribution finden Sie unter Standardprotokollierung konfigurieren (Legacy) im Amazon CloudFront Developer Guide.

[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

Kategorie: Schützen > Schutzdienste

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-associated-with-waf

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob CloudFront Distributionen entweder AWS WAF Classic- oder AWS WAF ACLs Web-Distributionen zugeordnet sind. Die Steuerung schlägt fehl, wenn die Verteilung mit keiner Web-ACL verknüpft ist.

AWS WAF ist eine webbasierte Firewall, die Webanwendungen schützt und Webanwendungen vor Angriffen APIs schützt. Sie ermöglicht es ihnen, eine Gruppe von Regeln (eine sogenannte Web-Zugriffskontrollliste oder Web-ACL) zum Zulassen, Blockieren oder Zählen von Webanforderungen basierend auf von Ihnen definierten anpassbaren Web-Sicherheitsregeln und Bedingungen zu konfigurieren. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.

Abhilfe

Informationen zum Zuordnen einer AWS WAF Web-ACL zu einer CloudFront Distribution finden Sie unter Verwendung AWS WAF zur Zugriffskontrolle auf Ihre Inhalte im Amazon CloudFront Developer Guide.

[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2, NIST.800-53.r5 SC-2 (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-custom-ssl-certificate

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob CloudFront Distributionen das SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS Standardzertifikat verwenden.

Benutzerdefiniertes SSL/TLS ermöglicht Ihren Benutzern den Zugriff auf Inhalte mithilfe alternativer Domainnamen. Sie können benutzerdefinierte Zertifikate in AWS Certificate Manager (empfohlen) oder in IAM speichern.

Abhilfe

Informationen zum Hinzufügen eines alternativen Domainnamens für eine CloudFront Distribution mit einem benutzerdefinierten SSL/TLS-Zertifikat finden Sie unter Hinzufügen eines alternativen Domainnamens im Amazon CloudFront Developer Guide.

[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Niedrig

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-sni-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Verteilungen eine benutzerdefinierte SSL/TLS certificate and are configured to use SNI to serve HTTPS requests. This control fails if a custom SSL/TLS certificate is associated but the SSL/TLS Support-Methode verwenden, um eine dedizierte IP-Adresse zu nutzen.

Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie CloudFront für die Bedienung von HTTPS-Anforderungen mittels SNI konfigurieren, CloudFront verknüpft Ihren alternativen Domänennamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse für Ihren Domänennamen wird während der SSL-/TLS-Handshake-Aushandlung bestimmt; die IP-Adresse ist nicht für Ihre Verteilung reserviert.

Abhilfe

Informationen zur Konfiguration einer CloudFront Distribution für die Verwendung von SNI zur Bearbeitung von HTTPS-Anfragen finden Sie unter Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen (funktioniert für die meisten Kunden) im CloudFront Entwicklerhandbuch. Informationen über benutzerdefinierte SSL-Zertifikate finden Sie unter Anforderungen für die Verwendung von SSL/TLS-Zertifikaten mit. CloudFront

[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-traffic-to-origin-encrypted

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Verteilungen den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln. Diese Kontrolle schlägt bei einer CloudFront Distribution fehl, deren Ursprungsprotokollrichtlinie „Nur HTTP“ zulässt. Diese Kontrolle schlägt auch fehl, wenn die Ursprungsprotokollrichtlinie der Distribution „Match-Viewer“ lautet, während die Viewer-Protokollrichtlinie „Allow-all“ lautet.

HTTPS (TLS) kann verwendet werden, um das Abhören oder Manipulieren des Netzwerkverkehrs zu verhindern. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden.

Abhilfe

Informationen zur Aktualisierung der Origin-Protokollrichtlinie, sodass für eine CloudFront Verbindung eine Verschlüsselung erforderlich ist, finden Sie im Amazon CloudFront Developer Guide unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich machen.

[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-no-deprecated-ssl-protocols

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob CloudFront Amazon-Verteilungen veraltete SSL-Protokolle für die HTTPS-Kommunikation zwischen CloudFront Edge-Standorten und Ihren benutzerdefinierten Ursprüngen verwenden. Diese Kontrolle schlägt fehl, wenn eine CloudFront Distribution über ein Where Includes verfügtCustomOriginConfig. OriginSslProtocols SSLv3

Im Jahr 2015 gab die Internet Engineering Task Force (IETF) offiziell bekannt, dass SSL 3.0 nicht mehr unterstützt werden sollte, da das Protokoll nicht ausreichend sicher ist. Es wird empfohlen, dass Sie TLSv1 .2 oder höher für die HTTPS-Kommunikation mit Ihren benutzerdefinierten Ursprüngen verwenden.

Abhilfe

Informationen zur Aktualisierung der Origin-SSL-Protokolle für eine CloudFront Distribution finden Sie unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich im Amazon CloudFront Developer Guide.

[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

Verwandte Anforderungen: NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6

Kategorie: Identifizieren > Ressourcenkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-s3-origin-non-existent-bucket

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen auf nicht existierende Amazon S3-Ursprünge verweisen. Die Kontrolle schlägt bei einer CloudFront Distribution fehl, wenn der Ursprung so konfiguriert ist, dass er auf einen nicht existierenden Bucket verweist. Diese Steuerung gilt nur für CloudFront Distributionen, bei denen ein S3-Bucket ohne statisches Website-Hosting der S3-Ursprung ist.

Wenn eine CloudFront Distribution in Ihrem Konto so konfiguriert ist, dass sie auf einen nicht existierenden Bucket verweist, kann ein böswilliger Dritter den Bucket erstellen, auf den verwiesen wird, und seine eigenen Inhalte über Ihre Distribution bereitstellen. Wir empfehlen, alle Ursprünge unabhängig vom Routing-Verhalten zu überprüfen, um sicherzustellen, dass Ihre Distributionen auf die richtigen Ursprünge verweisen.

Abhilfe

Informationen zum Ändern einer CloudFront Distribution, sodass sie auf einen neuen Ursprung verweist, finden Sie unter Aktualisieren einer Distribution im Amazon CloudFront Developer Guide.

[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich

Schweregrad: Mittel

Art der Ressource: AWS::CloudFront::Distribution

AWS Config -Regel: cloudfront-s3-origin-access-control-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob für eine CloudFront Amazon-Distribution mit einem Amazon-S3-Ursprung die Ursprungszugriffssteuerung (Origin Access Control, OAC) konfiguriert ist. Die Kontrolle schlägt fehl, wenn OAC nicht für die CloudFront Distribution konfiguriert ist.

Wenn Sie einen S3-Bucket als Ursprung für Ihre CloudFront Verteilung verwenden, können Sie OAC aktivieren. Dies ermöglicht den Zugriff auf den Inhalt im Bucket nur über die angegebene CloudFront Distribution und verhindert den direkten Zugriff aus dem Bucket oder einer anderen Distribution. Obwohl Origin Access Identity (OAI) CloudFront unterstützt wird, bietet OAC zusätzliche Funktionen, und Distributionen, die OAI verwenden, können zu OAC migriert werden. OAI bietet zwar eine sichere Möglichkeit, auf S3-Ursprünge zuzugreifen, weist jedoch Einschränkungen auf, z. B. mangelnde Unterstützung für detaillierte Richtlinienkonfigurationen und für HTTP/HTTPS-Anfragen, die die POST-Methode verwenden und für die Signature Version 4 (Sigv4) erforderlich ist. AWS-Regionen AWS OAI unterstützt auch keine Verschlüsselung mit AWS Key Management Service. OAC basiert auf einer AWS bewährten Methode zur Verwendung von IAM-Dienstprinzipalen zur Authentifizierung mit S3-Ursprüngen.

Abhilfe

Informationen zur Konfiguration von OAC für eine CloudFront Distribution mit S3-Ursprüngen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

[CloudFront.14] CloudFront Distributionen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::CloudFront::Distribution

AWS Config Regel: tagged-cloudfront-distribution (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Distribution keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Verteilung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Markierung, die Sie einer AWS -Ressource zuordnen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Tags können Ihnen helfen, -Ressourcen zu identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, die Berechtigungen auf der Grundlage von Tags definiert. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und AWS -Ressourcen anfügen. Sie können eine einzelne ABAC-Richtlinie oder einen separaten Richtliniensatz für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen zugelassen werden, wenn das Tag des Prinzipals mit dem Tag der Ressource übereinstimmt. Weitere Informationen finden Sie unter Was ist ABAC für AWS? im IAM-Benutzerhandbuch.

Abhilfe

Informationen zum Hinzufügen von Tags zu einer CloudFront Distribution finden Sie unter Tagging CloudFront Amazon-Distributionen im Amazon CloudFront Developer Guide.