Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon SNS
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Simple Notification Service (Amazon SNS). Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6), NIST.800-171.R2 3.13.11, NIST.800-171.R2 3.13.16
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::SNS::Topic
Règle AWS Config : sns-encrypted-kms
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une rubrique Amazon SNS est chiffrée au repos à l'aide de clés gérées dans AWS Key Management Service ()AWS KMS. Les contrôles échouent si la rubrique SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE). Par défaut, SNS stocke les messages et les fichiers à l'aide du chiffrement du disque. Pour passer ce contrôle, vous devez choisir d'utiliser plutôt une clé KMS pour le chiffrement. Cela ajoute une couche de sécurité supplémentaire et offre une plus grande flexibilité en matière de contrôle d'accès.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues. Nous recommandons de chiffrer les rubriques SNS à l'aide de clés KMS pour renforcer la sécurité.
Correction
Pour activer SSE pour une rubrique SNS, consultez la section Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS dans le manuel du développeur Amazon Simple Notification Service. Avant de pouvoir utiliser SSE, vous devez également configurer des AWS KMS key politiques pour autoriser le chiffrement des sujets ainsi que le chiffrement et le déchiffrement des messages. Pour plus d'informations, consultez la section Configuration AWS KMS des autorisations dans le guide du développeur Amazon Simple Notification Service.
[SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet
Important
Security Hub a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter Journal des modifications pour les contrôles CSPM de Security Hub.
Exigences connexes : NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::SNS::Topic
Règle AWS Config : sns-topic-message-delivery-notification-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée pour l'état de livraison des messages de notification envoyés à une rubrique Amazon SNS pour les points de terminaison. Ce contrôle échoue si la notification d'état de livraison des messages n'est pas activée.
La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des services. L'enregistrement de l'état de livraison des messages permet de fournir des informations opérationnelles, telles que les suivantes :
Savoir si un message a été distribué au point de terminaison Amazon SNS.
Identifiez la réponse envoyée à Amazon SNS par le point de terminaison Amazon SNS.
Déterminer le temps d'attente du message (le temps entre l'horodatage de publication et le transfert vers un point de terminaison Amazon SNS).
Correction
Pour configurer l'enregistrement du statut de livraison pour un sujet, consultez le statut de livraison des messages Amazon SNS dans le manuel du développeur Amazon Simple Notification Service.
[SNS.3] Les sujets SNS doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SNS::Topic
AWS Config règle : tagged-sns-topic (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. |
No default value
|
Ce contrôle vérifie si une rubrique Amazon SNS comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le sujet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sujet n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une rubrique SNS, consultez la section Configuration des balises de rubrique Amazon SNS dans le guide du développeur Amazon Simple Notification Service.
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::SNS::Topic
Règle AWS Config : sns-topic-no-public-access
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la politique d'accès aux rubriques Amazon SNS autorise l'accès public. Ce contrôle échoue si la politique d'accès aux rubriques SNS autorise l'accès public.
Vous utilisez une politique d'accès Amazon SNS avec une rubrique particulière afin de limiter les personnes autorisées à travailler sur cette rubrique (par exemple, qui peut publier des messages ou s'y abonner). Les politiques SNS peuvent accorder l'accès à Comptes AWS d'autres utilisateurs ou aux vôtres. Compte AWS L'ajout d'un caractère générique (*) dans le Principal champ de la politique thématique et l'absence de conditions limitant la politique thématique peuvent entraîner une exfiltration de données, un déni de service ou une injection indésirable de messages dans votre service par un attaquant.
Note
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un PASSED résultat, les conditions de la politique d'accès Amazon SNS pour un sujet doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section Variables et balises du Guide de AWS Identity and Access Management l'utilisateur.
Correction
Pour mettre à jour les politiques d'accès relatives à une rubrique SNS, consultez la section Présentation de la gestion des accès dans Amazon SNS dans le manuel Amazon Simple Notification Service Developer Guide.
