Controles de Security Hub para Amazon FSx
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon FSx. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[FSx.1] Los sistemas de archivos de FSx para OpenZFS deben configurarse para copiar etiquetas en copias de seguridad y volúmenes
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::FSx::FileSystem
AWS Config Regla de: fsx-openzfs-copy-tags-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un sistema de archivos de Amazon FSx para OpenZFS está configurado para copiar etiquetas en las copias de seguridad y en los volúmenes. Se produce un error en el control si el sistema de archivos de OpenZFS no está configurado para copiar etiquetas en copias de seguridad y volúmenes.
La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le permiten clasificar los recursos de AWS de diversas maneras, por ejemplo, según su finalidad, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.
Corrección
Para obtener información sobre cómo configurar un sistema de archivos de FSx para OpenZFS para copiar etiquetas en las copias de seguridad y en los volúmenes, consulte Actualización de un sistema de archivos en la Guía del usuario de Amazon FSx para OpenZFS.
[FSx.2] Los sistemas de archivos de FSx para Lustre deben configurarse para copiar etiquetas en copias de seguridad
Requisitos relacionados: NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::FSx::FileSystem
AWS Config Regla de: fsx-lustre-copy-tags-to-backups
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un sistema de archivos de Amazon FSx para Lustre está configurado para copiar etiquetas en copias de seguridad y volúmenes. Se produce un error en el control si el sistema de archivos de Lustre no está configurado para copiar etiquetas en copias de seguridad y volúmenes.
La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le permiten clasificar los recursos de AWS de diversas maneras, por ejemplo, según su finalidad, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.
Corrección
Para obtener información sobre cómo configurar un sistema de archivos FSx para Lustre para copiar etiquetas en las copias de seguridad, consulte Cómo copiar copias de seguridad dentro de la misma Cuenta de AWS en la Guía del usuario de Amazon FSx para Lustre.
[FSx.3] Los sistemas de archivos FSx para OpenZFS se deben configurar para una implementación Multi-AZ
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::FSx::FileSystem
AWS Config Regla de: fsx-openzfs-deployment-type-check
Tipo de programa: Periódico
Parámetros: deploymentTypes: MULTI_AZ_1 (no personalizables)
Este control verifica si un sistema de archivos Amazon FSx para OpenZFS está configurado para usar el tipo de implementación de múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.
Amazon FSx para OpenZFS admite varios tipos de implementación para sistemas de archivos: Multi-AZ (alta disponibilidad), Single-AZ (alta disponibilidad) y Single-AZ (sin alta disponibilidad). Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Multi-AZ (alta disponibilidad) están compuestos por un par de servidores de archivos de alta disponibilidad (HA) distribuidos entre dos zonas de disponibilidad (AZ). Recomendamos usar el tipo de implementación Multi-AZ (alta disponibilidad) para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.
Corrección
Puede configurar un sistema de archivos Amazon FSx para OpenZFS para usar el tipo de implementación Multi-AZ cuando crea el sistema de archivos. No puede cambiar el tipo de implementación de un sistema de archivos FSx para OpenZFS ya existente.
Para obtener información sobre los tipos y las opciones de implementación para sistemas de archivos FSx para OpenZFS, consulte Disponibilidad y durabilidad para Amazon FSx para OpenZFS y Administración de recursos del sistema de archivos en la Guía del usuario de Amazon FSx para OpenZFS.
[FSx.4] Los sistemas de archivos de FSx para NetApp ONTAP se deben configurar para la implementación Multi-AZ
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::FSx::FileSystem
AWS Config Regla de: fsx-ontap-deployment-type-check
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de tipos de implementación que se deben incluir en la evaluación. El control genera un resultado |
Enum |
|
|
Este control verifica si un sistema de archivos de Amazon FSx para NetApp ONTAP está configurado para usar el tipo de implementación en múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar un tipo de implementación Multi-AZ. Puede especificar opcionalmente una lista de tipos de implementación para incluir en la evaluación.
Amazon FSx para NetApp ONTAP admite varios tipos de implementación para sistemas de archivos: Single-AZ–1, Single-AZ–2, Multi-AZ–1, Multi-AZ–2. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Recomendamos usar un tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción, debido al modelo de alta disponibilidad y durabilidad que proporcionan los tipos de implementación Multi-AZ. Los sistemas de archivos Multi-AZ admiten todas las características de disponibilidad y durabilidad de los sistemas de archivos Single-AZ. Además, están diseñados para proporcionar disponibilidad continua a los datos aún cuando una zona de disponibilidad (AZ) no esté disponible.
Corrección
No puede cambiar el tipo de implementación de un sistema de archivos de Amazon FSx para NetApp ONTAP ya existente. Sin embargo, puede realizar una copia de seguridad de los datos y luego restaurarlos en un nuevo sistema de archivos que use un tipo de implementación Multi-AZ.
Para obtener información sobre los tipos y las opciones de implementación para sistemas de archivos FSx para ONTAP, consulte Disponibilidad, durabilidad y opciones de implementación y Administración de los sistemas de archivos en la Guía del usuario de FSx para ONTAP.
[FSx.5] Los sistemas de archivos FSx para Windows File Server se deben configurar para la implementación Multi-AZ
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::FSx::FileSystem
AWS Config Regla de: fsx-windows-deployment-type-check
Tipo de programa: Periódico
Parámetros: deploymentTypes: MULTI_AZ_1 (no personalizables)
Este control verifica si un sistema de archivos Amazon FSx para Windows File Server está configurado para usar el tipo de implementación en múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.
Amazon FSx para Windows File Server admite dos tipos de implementación para los sistemas de archivos: Single-AZ y Multi-AZ. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Single-AZ se componen de una única instancia del servidor de archivos de Windows y un conjunto de volúmenes de almacenamiento dentro de una única zona de disponibilidad (AZ). Los sistemas de archivos Multi-AZ están compuestos por un clúster de servidores de archivos de Windows con alta disponibilidad distribuido en dos zonas de disponibilidad. Recomendamos usar el tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.
Corrección
Puede configurar un sistema de archivos de Amazon FSx para Windows File Server para usar el tipo de implementación Multi-AZ cuando crea el sistema de archivos. No es posible cambiar el tipo de implementación de un sistema de archivos FSx para Windows File Server ya existente.
Para obtener información sobre los tipos de implementación y las opciones para los sistemas de archivos de FSx para Windows File Server, consulte Disponibilidad y durabilidad: sistemas de archivos Single-AZ y Multi-AZ e Introducción a Amazon FSx para Windows File Server en la Guía del usuario de Amazon FSx para Windows File Server.
