本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub CSPM 控件 FSx
这些AWS Security Hub CSPM控制措施用于评估 Amazon FSx 服务和资源。这些控件可能并非全部可用AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷
相关要求: NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::FSx::FileSystem
AWS Config 规则:fsx-openzfs-copy-tags-enabled
计划类型:定期
参数:无
此控件检查是否将 Amazon FSx for OpenZFS 文件系统配置为将标签复制到备份和卷。如果 OpenZFS 文件系统未配置为将标签复制到备份和卷,则控制失败。
IT 资产的识别和清点是治理和安全的一个重要方面。标签可帮助您以不同的方式对AWS资源进行分类,例如按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用,因为您可以根据分配给特定资源的标签快速识别该资源。
修复
有关配置适用 FSx 于 OpenZFS 的文件系统以将标签复制到备份和卷的信息,请参阅 A ma FSx zon for OpenZ FS 用户指南中的更新文件系统。
[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份
相关要求:NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::FSx::FileSystem
AWS Config 规则:fsx-lustre-copy-tags-to-backups
计划类型:定期
参数:无
此控件检查 Amazon f FSx or Lustre 文件系统是否配置为将标签复制到备份和卷。如果 Lustre 文件系统未配置为将标签复制到备份和卷,则此控件将失败。
IT 资产的识别和清点是治理和安全的一个重要方面。标签可帮助您以不同的方式对AWS资源进行分类,例如按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用,因为您可以根据分配给特定资源的标签快速识别该资源。
修复
有关配置 for Lustre 文件系统以将标签复制到备份的信息,请参阅 Amazon FSx for Lustre 用户指南AWS 账户中的在同一个文件系统中复制备份。 FSx
[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则:fsx-openzfs-deployment-type-check
计划类型:定期
参数:deploymentTypes: MULTI_AZ_1(不可自定义)
此控件会检查 Amazon FSx for OpenZFS 文件系统是否配置为使用多可用区(多可用区)部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。
Amazon FSx for OpenZFS 支持多种文件系统部署类型:多可用区 (HA)、单可用区 (HA) 和单可用区(非 HA)。部署类型提供不同级别的可用性和持久性。多可用区 (HA) 文件系统由一对高可用性 (HA) 文件服务器组成,这些服务器分布在两个可用区 (AZs)。我们建议大多数生产工作负载使用多可用区(HA)部署类型,因为它提供了高可用性和持久性模型。
修复
在创建文件系统时,您可以将 Amazon for OpenZFS 文件系统配置 FSx 为使用多可用区部署类型。您无法更改现有 FSx OpenZFS 文件系统的部署类型。
有关 OpenZFS 文件系统的部署类型和选项的信息,请参阅《亚马逊版 OpenZFS 用户指南》中的 “亚马逊 FSx 适用于 OpenZFS 的可用性和持久性” 和 “管理文件系统资源 FSx ”。 FSx
[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则:fsx-ontap-deployment-type-check
计划类型:定期
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
|
|
要包含在评估中的部署类型列表。如果文件系统未配置为使用列表中指定的部署类型,则该控件会生成 |
枚举 |
|
|
此控件会检查 Amazon FSx f NetApp or ONTAP 文件系统是否配置为使用多可用区(多可用区)部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。您可以选择执行要包含在评估中的部署类型列表。
Amazon FSx for NetApp ONTAP 支持多种文件系统的部署类型:单可用区 1、单可用区 2、多可用区 1 和多可用区 2。部署类型提供不同级别的可用性和持久性。我们建议大多数生产工作负载使用多可用区部署类型,因为多可用区部署类型提供了高可用性和持久性模型。多可用区文件系统支持单可用区文件系统的所有可用性与持久性功能。此外,它们的设计目的是即使在可用区(AZ)不可用时也能持续提供数据可用性。
修复
您无法更改现有 Amazon FSx for NetApp ONTAP 文件系统的部署类型。但是,您可以备份数据,然后将其还原到使用多可用区部署类型的新文件系统上。
有关 ONTAP 文件系统的部署类型和选项的信息,请参阅《 FSx 适用于 ONTAP 的用户指南》FSx 中的可用性、持久性和部署选项以及管理文件系统。
[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则:fsx-windows-deployment-type-check
计划类型:定期
参数:deploymentTypes: MULTI_AZ_1(不可自定义)
此控件检查是否将 Amazon FSx for Windows 文件服务器文件系统配置为使用多可用区(多可用区)部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。
Amazon FSx for Windows 文件服务器支持两种文件系统部署类型:单可用区和多可用区。部署类型提供不同级别的可用性和持久性。单可用区文件系统由单个 Windows 文件服务器实例和单个可用区(AZ)内的一组存储卷组成。多可用区文件系统由分布在两个可用区的 Windows 文件服务器的高可用性集群组成。我们建议大多数生产工作负载使用多可用区部署类型,因为它提供了高可用性和持久性模型。
修复
在创建文件系统时,您可以将 Amazon FSx for Windows 文件服务器文件系统配置为使用多可用区部署类型。您无法更改现有 FSx 的 Windows 文件服务器文件系统的部署类型。
有关 Windows 文件服务器文件系统的部署类型和选项的信息,请参阅《亚马逊 Windows 文件服务器用户指南》中的 “可用性和持久性:单可用区和多可用区文件系统” 和 “亚马逊 FSx 版 Windows 文件服务器入门”。 FSx FSx
