Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Auto Scaling
Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon EC2 Auto Scaling.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB
**Persyaratan terkait:** PCI DSS v3.2.1/2.2,, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Kategori:** Identifikasi > Persediaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling yang terkait dengan penyeimbang beban menggunakan pemeriksaan kesehatan Elastic Load Balancing (ELB). Kontrol gagal jika grup Auto Scaling tidak menggunakan pemeriksaan kesehatan ELB.
Pemeriksaan kesehatan ELB membantu memastikan bahwa grup Auto Scaling dapat menentukan kesehatan instans berdasarkan tes tambahan yang disediakan oleh penyeimbang beban. Menggunakan pemeriksaan kesehatan Elastic Load Balancing juga membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto EC2 Scaling.
### Remediasi
Untuk menambahkan pemeriksaan kesehatan Elastic Load Balancing, lihat [Menambahkan pemeriksaan kesehatan Menambahkan Elastic Load Balancing di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) Pengguna Amazon *Auto EC2 Scaling.*
## [AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Jumlah minimum Availability Zone | Enum | `2, 3, 4, 5, 6` | `2` |
Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon mencakup setidaknya jumlah Availability Zone () yang ditentukan. AZs Kontrol gagal jika grup Auto Scaling tidak menjangkau setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs
Grup Auto Scaling yang tidak menjangkau beberapa instans tidak AZs dapat meluncurkan instance di AZ lain untuk mengkompensasi jika AZ tunggal yang dikonfigurasi menjadi tidak tersedia. Namun, grup Auto Scaling dengan satu Availability Zone mungkin lebih disukai dalam beberapa kasus penggunaan, seperti pekerjaan batch atau ketika biaya transfer antar-AZ harus dijaga seminimal mungkin. Dalam kasus seperti itu, Anda dapat menonaktifkan kontrol ini atau menekan temuannya.
### Remediasi
Untuk menambahkan AZs ke grup Auto Scaling yang ada, lihat [Menambahkan dan menghapus Availability Zone](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) di Panduan Pengguna *Amazon Auto EC2 Scaling*.
## [AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2
**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah IMDSv2 diaktifkan pada semua instans yang diluncurkan oleh grup EC2 Auto Scaling Amazon. Kontrol gagal jika versi Instance Metadata Service (IMDS) tidak disertakan dalam konfigurasi peluncuran atau dikonfigurasi sebagai`token optional`, yang merupakan pengaturan yang memungkinkan salah satu atau. IMDSv1 IMDSv2
IMDS menyediakan data tentang instans yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan.
IMDS versi 2 menambahkan perlindungan baru yang tidak tersedia IMDSv1 untuk melindungi instans Anda lebih lanjut. EC2
### Remediasi
Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru dengan IMDSv2 diaktifkan. Untuk informasi selengkapnya, lihat [Mengonfigurasi opsi metadata instans untuk instance baru](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) di Panduan Pengguna *Amazon EC2 *.
## [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1
**penting**
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa jumlah hop jaringan yang dapat ditempuh oleh token metadata. Kontrol gagal jika batas hop respons metadata lebih besar dari. `1`
Layanan Metadata Instance (IMDS) menyediakan informasi metadata tentang EC2 instans Amazon dan berguna untuk konfigurasi aplikasi. Membatasi `PUT` respons HTTP untuk layanan metadata hanya untuk EC2 instance yang melindungi IMDS dari penggunaan yang tidak sah.
Bidang Time To Live (TTL) dalam paket IP dikurangi satu pada setiap hop. Pengurangan ini dapat digunakan untuk memastikan bahwa paket tidak bepergian ke luar EC2. IMDSv2 melindungi EC2 instance yang mungkin salah dikonfigurasi sebagai router terbuka, firewall lapisan 3, terowongan, atau perangkat NAT VPNs, yang mencegah pengguna yang tidak sah mengambil metadata. Dengan IMDSv2, `PUT` respons yang berisi token rahasia tidak dapat berjalan di luar instance karena batas hop respons metadata default disetel ke. `1` Namun, jika nilai ini lebih besar dari`1`, token dapat meninggalkan EC2 instance.
### Remediasi
*Untuk mengubah batas hop respons metadata untuk konfigurasi peluncuran yang ada, lihat [Memodifikasi opsi metadata instans untuk instance yang ada di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) Amazon. EC2 *
## [Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah konfigurasi peluncuran terkait grup Auto Scaling menetapkan [alamat IP publik ke instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) grup. Kontrol gagal jika konfigurasi peluncuran terkait menetapkan alamat IP publik.
EC2 Instans Amazon dalam konfigurasi peluncuran grup Auto Scaling tidak boleh memiliki alamat IP publik terkait, kecuali dalam kasus edge terbatas. EC2 Instans Amazon seharusnya hanya dapat diakses dari belakang penyeimbang beban alih-alih langsung terpapar ke internet.
### Remediasi
Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru. Lalu, perbarui grup Auto Scaling Anda untuk menggunakan konfigurasi peluncuran baru. Untuk step-by-step petunjuknya, lihat [Mengubah konfigurasi peluncuran untuk grup Auto Scaling di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) Pengguna *Amazon Auto EC2 Scaling*. Saat membuat konfigurasi peluncuran baru, di bawah **Konfigurasi tambahan**, untuk **detail lanjutan, jenis alamat IP**, pilih **Jangan tetapkan alamat IP publik ke instance apa pun**.
Setelah Anda mengubah konfigurasi peluncuran, Auto Scaling meluncurkan instance baru dengan opsi konfigurasi baru. Instance yang ada tidak terpengaruh. Untuk memperbarui instans yang ada, kami sarankan Anda menyegarkan instans Anda, atau mengizinkan penskalaan otomatis untuk secara bertahap mengganti instans lama dengan instans yang lebih baru berdasarkan kebijakan penghentian Anda. *Untuk informasi selengkapnya tentang memperbarui instans Auto Scaling, lihat Memperbarui instans [Auto Scaling di Panduan Pengguna Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) Auto Scaling. EC2 *
## [AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon menggunakan beberapa jenis instans. Kontrol gagal jika grup Auto Scaling hanya memiliki satu jenis instance yang ditentukan.
Anda dapat meningkatkan ketersediaan dengan menerapkan aplikasi Anda di beberapa jenis instance yang berjalan di beberapa Availability Zone. Security Hub CSPM merekomendasikan penggunaan beberapa jenis instans sehingga grup Auto Scaling dapat meluncurkan jenis instans lain jika kapasitas instans tidak mencukupi di Availability Zone yang Anda pilih.
### Remediasi
Untuk membuat grup Auto Scaling dengan beberapa jenis instans, lihat grup [Auto Scaling dengan beberapa jenis instans dan opsi pembelian](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) di Panduan Pengguna Amazon *Auto EC2 Scaling*.
## [AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)
**Kategori:** Identifikasi > Konfigurasi Sumber Daya
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon dibuat dari template EC2 peluncuran. Kontrol ini gagal jika grup EC2 Auto Scaling Amazon tidak dibuat dengan templat peluncuran atau jika templat peluncuran tidak ditentukan dalam kebijakan instance campuran.
Grup EC2 Auto Scaling dapat dibuat dari template EC2 peluncuran atau konfigurasi peluncuran. Namun, menggunakan template peluncuran untuk membuat grup Auto Scaling memastikan bahwa Anda memiliki akses ke fitur dan peningkatan terbaru.
### Remediasi
Untuk membuat grup Auto Scaling dengan template EC2 peluncuran, lihat [Membuat grup Auto Scaling menggunakan template peluncuran di Panduan Pengguna](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) Amazon *Auto EC2 Scaling*. Untuk informasi tentang cara mengganti konfigurasi peluncuran dengan templat peluncuran, lihat [Mengganti konfigurasi peluncuran dengan templat peluncuran](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) di *Panduan EC2 Pengguna Amazon*.
## [AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config aturan:** `tagged-autoscaling-autoscalinggroup` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup Auto Scaling tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup Auto Scaling tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke grup Auto Scaling, lihat [Menandai grup dan instance Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) di Panduan Pengguna *Amazon EC2 Auto Scaling*.