Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon SQS
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Queue Service (Amazon SQS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::SQS::Queue
AWS Config aturan: sqs-queue-encrypted
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah antrian Amazon SQS dienkripsi saat istirahat. Kontrol gagal jika antrian tidak dienkripsi dengan kunci yang dikelola SQS (SSE-SQS) atau kunci () (SSE-KMS). AWS Key Management Service AWS KMS
Mengenkripsi data saat istirahat mengurangi risiko pengguna yang tidak sah mengakses data yang disimpan di disk. Enkripsi sisi server (SSE) melindungi isi pesan dalam antrian SQS menggunakan kunci enkripsi yang dikelola SQS (SSE-SQS) atau kunci (SSE-KMS). AWS KMS
Remediasi
Untuk mengonfigurasi SSE untuk antrean SQS, lihat Mengonfigurasi enkripsi sisi server (SSE) untuk antrian (konsol) di Panduan Pengembang Layanan Antrian Sederhana Amazon.
[SQS.2] Antrian SQS harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::SQS::Queue
AWS Config aturan: tagged-sqs-queue
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . |
No default value
|
Kontrol ini memeriksa apakah antrian Amazon SQS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys
Kontrol gagal jika antrian tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antrian tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke antrean yang ada menggunakan konsol Amazon SQS, lihat Mengonfigurasi tag alokasi biaya untuk antrean (konsol) Amazon SQS di Panduan Pengembang Layanan Antrian Sederhana Amazon.
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SQS::Queue
AWS Config aturan: sqs-queue-no-public-access
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kebijakan akses Amazon SQS memungkinkan akses publik ke antrean SQS. Kontrol gagal jika kebijakan akses SQS mengizinkan akses publik ke antrian.
Kebijakan akses Amazon SQS dapat mengizinkan akses publik ke antrean SQS, yang memungkinkan pengguna anonim atau identitas AWS IAM yang diautentikasi untuk mengakses antrian. Kebijakan akses SQS biasanya menyediakan akses ini dengan menentukan karakter wildcard (*
) dalam Principal
elemen kebijakan, tidak menggunakan kondisi yang tepat untuk membatasi akses ke antrian, atau keduanya. Jika kebijakan akses SQS mengizinkan akses publik, pihak ketiga mungkin dapat melakukan tugas seperti menerima pesan dari antrian, mengirim pesan ke antrian, atau mengubah kebijakan akses untuk antrian. Hal ini dapat mengakibatkan peristiwa seperti eksfiltrasi data, penolakan layanan, atau injeksi pesan ke dalam antrian oleh aktor ancaman.
catatan
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan PASSED
temuan, kondisi dalam kebijakan akses Amazon SQS untuk antrian hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak berisi karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat Variabel dan tag di Panduan AWS Identity and Access Management Pengguna.
Remediasi
Untuk informasi tentang mengonfigurasi kebijakan akses SQS untuk antrean SQS, lihat Menggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS di Panduan Pengembang Layanan Antrian Sederhana Amazon.