As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles CSPM do Security Hub para Amazon MQ

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon MQ. Os controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

Requisitos relacionados: NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

Categoria: Identificar > Registro em log

Gravidade: média

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config: mq-cloudwatch-audit-log-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um agente do Amazon MQ ActiveMQ transmite logs de auditoria para o Amazon Logs. CloudWatch O controle falhará se o agente não transmitir os registros de auditoria para o CloudWatch Logs.

Ao publicar os registros do agente ActiveMQ no Logs CloudWatch , você pode CloudWatch criar alarmes e métricas que aumentam a visibilidade das informações relacionadas à segurança.

Correção

Para transmitir os logs do agente ActiveMQ para o Logs, consulte Configurando o Amazon MQ CloudWatch para registros do ActiveMQ no Guia do Desenvolvedor do Amazon MQ.

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Gravidade: média

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config: mq-auto-minor-version-upgrade-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um agente do Amazon MQ têm a atualização automática de versões secundárias habilitada. O controle falhará se o corretor não tiver a atualização automática de versões secundárias habilitada.

À medida que o Amazon MQ lança e torna-se compatível com novas versões do mecanismo de agente, as alterações são compatíveis com as versões anteriores de uma aplicação existente e não tornam a funcionalidade existente obsoleta. As atualizações automáticas da versão do mecanismo de agente protegem você contra riscos de segurança, ajudam a corrigir erros e aprimoram a funcionalidade.

Correção

Para habilitar a atualização automática de versões secundárias para um agente MQ, consulte Automatically upgrading the minor engine version no Amazon MQ Developer Guide.

[MQ.4] Os agentes do Amazon MQ devem ser marcados

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

AWS Configregra: tagged-amazonmq-broker (regra CSPM personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um agente do Amazon MQ tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o agente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o agente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

Correção

Para adicionar tags a um agente do Amazon MQ, consulte Tagging resources no Amazon MQ Developer Guide.

[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config: mq-active-deployment-mode

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ ActiveMQ está definido como ativo/em espera. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. O modo de implantação ativo/em espera inclui duas instâncias de agente em duas zonas de disponibilidade diferentes, configuradas em um par redundante. Esses agentes se comunicam de forma síncrona com seu aplicativo, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

Correção

Para criar um novo agente ActiveMQ active/standby com modo de implantação, consulte Criação e configuração de um agente ActiveMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Agente ativo/em espera. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config: mq-rabbit-deployment-mode

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ RabbitMQ está definido como implantação em cluster. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. A implantação do cluster é um agrupamento lógico de três nós de agente do RabbitMQ, cada um com seu próprio volume do Amazon Elastic Block Store (Amazon EBS) e um estado compartilhado. A implantação do cluster garante que os dados sejam replicados para todos os nós do cluster, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

Correção

Para criar um novo agente RabbitMQ com modo de implantação em cluster, consulte Criar e conectar um agente RabbitMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Implantação em cluster. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.