Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli CSPM Security Hub per CloudFormation
Questi controlli CSPM di Security Hub valutano il AWS CloudFormation servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS)
Importante
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta Registro delle modifiche per i controlli CSPM di Security Hub.
Requisiti correlati: NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
Gravità: bassa
Tipo di risorsa: AWS::CloudFormation::Stack
Regola AWS Config: cloudformation-stack-notification-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una notifica di Amazon Simple Notification Service è integrata con uno CloudFormation stack. Il controllo fallisce per uno CloudFormation stack se non è associata alcuna notifica SNS.
La configurazione di una notifica SNS con lo CloudFormation stack consente di notificare immediatamente alle parti interessate eventuali eventi o modifiche che si verificano nello stack.
Correzione
Per integrare uno CloudFormation stack e un argomento SNS, consulta Aggiornare gli stack direttamente nella Guida per l'utente. AWS CloudFormation
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::CloudFormation::Stack
AWS Configregola: tagged-cloudformation-stack (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. | Nessun valore predefinito |
Questo controllo verifica se uno AWS CloudFormation stack ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se lo stack non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo stack non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a uno CloudFormation stack, consulta l'AWS CloudFormationAPI CreateStackReference.
[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata
Categoria: Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: media
Tipo di risorsa: AWS::CloudFormation::Stack
Regola AWS Config: cloudformation-termination-protection-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se uno AWS CloudFormation stack ha la protezione dalla terminazione abilitata. Il controllo fallisce se la protezione dalla terminazione non è abilitata su uno stack. CloudFormation
CloudFormation aiuta a gestire le risorse correlate come una singola unità denominata Stack. Puoi impedire che uno stack venga eliminato accidentalmente abilitando la protezione da cessazione sullo stack. Se un utente tenta di eliminare uno stack con protezione da cessazione abilitata, l’eliminazione ha esito negativo e lo stack, incluso lo stato, rimane invariato. Puoi impostare la protezione da cessazione su stack con qualsiasi stato eccetto DELETE_IN_PROGRESS o DELETE_COMPLETE.
Nota
Se abilitata o disabilitata su uno stack, la protezione da cessazione approva la stessa scelta anche per qualsiasi stack nidificato appartenente a tale stack. Non è possibile abilitare o disabilitare la protezione da terminazione direttamente su uno stack nidificato. Non è possibile eliminare direttamente uno stack annidato appartenente a uno stack con la protezione dalla terminazione abilitata. Se accanto al nome dello stack compare la dicitura NESTED (NIDIFICATO), si tratta di uno stack nidificato. È possibile modificare la protezione da cessazione soltanto sullo stack radice al quale appartiene lo stack nidificato.
Correzione
Per abilitare la protezione dalla terminazione su uno CloudFormation stack, consulta Proteggere gli CloudFormation stack dall'eliminazione nella Guida per l'utente. AWS CloudFormation
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
Categoria: Rileva > Gestione sicura degli accessi
Gravità: media
Tipo di risorsa: AWS::CloudFormation::Stack
Regola AWS Config: cloudformation-stack-service-role-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se a uno AWS CloudFormation stack è associato un ruolo di servizio. Il controllo ha esito negativo per uno CloudFormation stack se non è associato alcun ruolo di servizio.
L'utilizzo dei ruoli di servizio con CloudFormation gli stack aiuta a implementare l'accesso con privilegi minimi separando le autorizzazioni tra l'utente che si occupa dello creates/updates stack e le autorizzazioni necessarie alle risorse. CloudFormation create/update Ciò riduce il rischio di aumento dei privilegi e aiuta a mantenere i confini di sicurezza tra i diversi ruoli operativi.
Nota
Non è possibile rimuovere un ruolo di servizio collegato a uno stack dopo la creazione dello stack. Altri utenti che dispongono delle autorizzazioni per eseguire operazioni su questo stack potranno usare questo ruolo, indipendentemente dal fatto che dispongano o meno dell’autorizzazione iam:PassRole. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi.
Correzione
Per associare un ruolo di servizio a uno CloudFormation stack, consulta il ruolo di CloudFormation servizio nella Guida per l'utente. AWS CloudFormation
