适用于亚马逊 EFS 的 Security Hub CSPM 控件 - AWSSecurity Hub
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS[EFS.2] Amazon EFS 卷应包含在备份计划中[EFS.3] EFS 接入点应强制使用根目录[EFS.4] EFS 接入点应强制使用用户身份[EFS.5] 应标记 EFS 接入点[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联[EFS.7] EFS 文件系统应启用自动备份[EFS.8] 应对 EFS 文件系统进行静态加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊 EFS 的 Security Hub CSPM 控件

这些 Security Hub CSPM 控件评估亚马逊弹性文件系统 (Amazon EFS) 服务和资源。这些控件可能并非全部可用AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS

相关要求:独联体AWS基金会基准 v5.0.0/2.3.1、CIS AWS 基金会基准 v3.0.0/2.4.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8 (1)、8 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6) NIST.800-53.r5 SC-7

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-encrypted-check

计划类型:定期

参数:

此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据AWS KMS。在以下情况下,检查失败。

请注意,此控件不使用 efs-encrypted-checkKmsKeyId 参数。它只检查 Encrypted 的值。

为了为 Amazon EFS 中的敏感数据增加一层安全保护,您应该创建加密文件系统。Amazon EFS 支持静态文件系统加密。您可以在创建 Amazon EFS 文件系统时启用静态数据加密。要了解有关 Amazon EFS 加密的更多信息,请参阅 Amazon Elastic File System 用户指南中的 Amazon EFS 中的数据加密

修复

有关如何加密新的 Amazon EFS 文件系统的详细信息,请参阅 Amazon Elastic File System 用户指南中的加密静态数据

[EFS.2] Amazon EFS 卷应包含在备份计划中

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

分类:恢复 > 弹性 > 备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-in-backup-plan

计划类型:定期

参数:

此控件检查 Amazon Elastic File System(Amazon EFS)文件系统是否已添加到 AWS Backup 中的备份计划中。如果 Amazon EFS 文件系统未包含在备份计划中,控制失败。

在备份计划中包括 EFS 文件系统可帮助您保护数据免遭删除和数据丢失。

修复

要为现有 Amazon EFS 文件系统启用自动备份,请参阅 AWS Backup 开发人员指南中的入门 4:创建 Amazon EFS 自动备份

[EFS.3] EFS 接入点应强制使用根目录

相关要求: NIST.800-53.r5 AC-6(10)

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-root-directory

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 Path 值设置为 /(文件系统的默认根目录),则控制失败。

在强制执行根目录时,使用接入点的 NFS 客户端使用在接入点上配置的根目录,而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件,从而有助于限制数据访问。

修复

有关如何为 Amazon EFS 接入点强制使用根目录的说明,请参阅 Amazon Elastic File System 用户指南中的使用接入点强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

相关要求: NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config 规则:efs-access-point-enforce-user-identity

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建 EFS 接入点时未定义 POSIX 用户身份,则此控制失败。

Amazon EFS 接入点是 EFS 文件系统中特定于应用程序的入口点,便于轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制执行用户身份(包括用户的 POSIX 组)。接入点还可以为文件系统强制执行不同的根目录,以便客户端只能访问指定目录或其子目录中的数据。

修复

要强制执行 Amazon EFS 接入点的用户身份,请参阅 Amazon Elastic File System 用户指南中的使用接入点强制使用用户身份

[EFS.5] 应标记 EFS 接入点

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::EFS::AccessPoint

AWS Config规则:tagged-efs-accesspoint(自定义 Security Hub CSPM 规则)

计划类型:已触发变更

参数:

参数 说明 Type 允许的自定义值 Security Hub CSPM 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 StringList (最多 6 件商品) 1-6 个符合 AWS 要求的标签键。 无默认值

此控件可检查 Amazon EFS 接入点是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果接入点没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果接入点未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给AWS资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和AWS资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签AWS 服务,包括AWS Billing。有关更多标记最佳做法,请参阅中的为AWS资源添加标签AWS 一般参考

修复

要向 EFS 接入点添加标签,请参阅《Amazon Elastic File System User Guide》中的 Tagging Amazon EFS resources

[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联

类别:保护 > 网络安全 > 不公开访问的资源

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-mount-target-public-accessible

计划类型:定期

参数:

此控件检查 Amazon EFS 挂载目标是否与启动时分配公有 IP 地址的子网关联。如果挂载目标与在启动时分配公共 IP 地址的子网相关联,则该控件会失败。

子网具有决定网络接口是否自动接收公用 IPv6 地址 IPv4 和地址的属性。对于 IPv4,TRUE对于默认子网和FALSE非默认子网,此属性均设置为(通过 EC2 启动实例向导创建的非默认子网除外,该向导设置为)。TRUE对于 IPv6,默认情况下,所有子网FALSE的此属性均设置为。启用这些属性后,在子网中启动的实例会自动在其主网络接口上收到相应的 IP 地址(IPv4 或 IPv6)。启动到启用了此属性的子网中的 Amazon EFS 挂载目标会为其主网络接口分配一个公共 IP 地址。

修复

要将现有挂载目标与不同的子网关联,您必须在启动时不分配公共 IP 地址的子网中创建一个新的挂载目标,然后移除旧的挂载目标。有关安全组和挂载目标的信息,请参阅《Amazon Elastic File System User Guide》中的 Creating and managing mount targets and security groups

[EFS.7] EFS 文件系统应启用自动备份

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-automatic-backups-enabled

计划类型:已触发变更

参数:

此控件可检查 Amazon EFS 文件系统是否已启用自动备份。如果 EFS 文件系统未启用自动备份,则此控件将失败。

数据备份是系统、配置或应用程序数据的副本,与原始数据分开存储。启用定期备份有助于保护宝贵的数据免受系统故障、网络攻击或意外删除等不可预见事件的影响。拥有强大的备份策略还有助于更快地恢复、保持业务连续性,即使面对潜在的数据丢失也能倍感安心。

修复

有关用AWS Backup于 EFS 文件系统的信息,请参阅《Amazon Elastic File System 用户指南》中的 “备份 EFS 文件系统”。

[EFS.8] 应对 EFS 文件系统进行静态加密

相关要求:独联体AWS基金会基准 v5.0.0/2.3.1

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EFS::FileSystem

AWS Config 规则:efs-filesystem-ct-encrypted

计划类型:已触发变更

参数:

此控件检查 Amazon EFS 文件系统是否使用 AWS Key Management Service (AWS KMS) 加密数据。如果文件系统未加密,则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据,无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性,降低未经授权的用户访问这些数据的风险。

修复

要为新的 EFS 文件系统启用静态加密,请参阅《Amazon Elastic File System User Guide》中的 Encrypting data at rest