Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untuk CloudFormation
Kontrol CSPM Security Hub ini mengevaluasi AWS CloudFormation layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS)
penting
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol CSPM Security Hub.
Persyaratan terkait: NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudFormation::Stack
AWS Configaturan: cloudformation-stack-notification-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah pemberitahuan Amazon Simple Notification Service terintegrasi dengan CloudFormation tumpukan. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada pemberitahuan SNS yang terkait dengannya.
Mengonfigurasi notifikasi SNS dengan CloudFormation tumpukan Anda membantu segera memberi tahu pemangku kepentingan tentang peristiwa atau perubahan apa pun yang terjadi dengan tumpukan.
Remediasi
Untuk mengintegrasikan CloudFormation tumpukan dan topik SNS, lihat Memperbarui tumpukan secara langsung di AWS CloudFormationPanduan Pengguna.
[CloudFormation.2] CloudFormation tumpukan harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudFormation::Stack
AWS Configaturan: tagged-cloudformation-stack (aturan CSPM Security Hub kustom)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratanAWS. | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika tumpukan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tumpukan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orangLayanan AWS, termasukAWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke CloudFormation tumpukan, lihat CreateStackdi Referensi AWS CloudFormation API.
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFormation::Stack
AWS Configaturan: cloudformation-termination-protection-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki perlindungan terminasi yang diaktifkan. Kontrol gagal jika perlindungan terminasi tidak diaktifkan pada CloudFormation tumpukan.
CloudFormation membantu mengelola sumber daya terkait sebagai satu unit yang disebut Stack. Anda dapat mencegah tumpukan tidak sengaja dihapus dengan mengaktifkan perlindungan terminasi pada tumpukan. Jika pengguna mencoba untuk menghapus tumpukan dengan perlindungan terminasi diaktifkan, penghapusan gagal dan tumpukan, termasuk statusnya, tetap tidak berubah. Anda dapat mengatur perlindungan terminasi pada tumpukan dengan status apa pun kecuali DELETE_IN_PROGRESS atauDELETE_COMPLETE.
catatan
Mengaktifkan atau menonaktifkan perlindungan terminasi pada tumpukan meneruskan pilihan yang sama ke tumpukan bersarang milik tumpukan itu juga. Anda tidak dapat mengaktifkan atau menonaktifkan perlindungan terminasi secara langsung di tumpukan nest. Anda tidak dapat langsung menghapus tumpukan bersarang milik tumpukan yang memiliki perlindungan terminasi diaktifkan. Jika NESTED ditampilkan di sebelah nama tumpukan, tumpukan adalah tumpukan nest. Anda hanya dapat mengubah perlindungan terminasi pada tumpukan akar yang dimiliki tumpukan nest.
Remediasi
Untuk mengaktifkan perlindungan penghentian pada CloudFormation tumpukan, lihat Melindungi CloudFormation tumpukan agar tidak dihapus di Panduan AWS CloudFormation Pengguna.
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
Kategori: Deteksi > Manajemen akses aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudFormation::Stack
AWS Configaturan: cloudformation-stack-service-role-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki peran layanan yang terkait dengannya. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada peran layanan yang terkait dengannya.
Menggunakan peran layanan dengan CloudFormation tumpukan membantu menerapkan akses hak istimewa paling sedikit dengan memisahkan izin antara pengguna yang creates/updates menumpuk dan izin yang diperlukan oleh sumber daya. CloudFormation create/update Ini mengurangi risiko eskalasi hak istimewa dan membantu menjaga batas-batas keamanan antara peran operasional yang berbeda.
catatan
Penghapusan peran layanan yang melekat pada tumpukan setelah tumpukan dibuat tidak dapat dilakukan. Pengguna lain yang memiliki izin untuk melakukan operasi pada tumpukan ini dapat menggunakan peran ini, terlepas dari apakah pengguna tersebut memiliki iam:PassRole izin atau tidak. Jika peran tersebut mencakup izin yang seharusnya tidak dimiliki pengguna, Anda dapat secara tidak sengaja meningkatkan izin pengguna. Pastikan peran memberikan keistimewaan paling rendah.
Remediasi
Untuk mengaitkan peran layanan dengan CloudFormation tumpukan, lihat peran CloudFormation layanan di Panduan AWS CloudFormation Pengguna.
