

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Auto Scaling 的 Security Hub CSPM 控制項
<a name="autoscaling-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon EC2 Auto Scaling 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查
<a name="autoscaling-1"></a>

**相關要求：**PCI DSS v3.2.1/2.2、NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

**類別：**識別 > 清查

**嚴重性：**低

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查與負載平衡器相關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing (ELB) 運作狀態檢查。如果 Auto Scaling 群組不使用 ELB 運作狀態檢查，則控制項會失敗。

ELB 運作狀態檢查有助於確保 Auto Scaling 群組可以根據負載平衡器提供的其他測試來判斷執行個體的運作狀態。使用 Elastic Load Balancing 運作狀態檢查也有助於支援使用 EC2 Auto Scaling 群組的應用程式可用性。

### 修補
<a name="autoscaling-1-remediation"></a>

若要新增 Elastic Load Balancing 運作狀態檢查，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[新增 Elastic Load Balancing 運作狀態檢查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。

## 【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域
<a name="autoscaling-2"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用區域數目下限  |  列舉  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否至少跨越指定數量的可用區域 (AZs)。如果 Auto Scaling 群組未至少跨越指定數量AZs，則控制項會失敗。除非您提供最低 AZs 數量的自訂參數值，否則 Security Hub CSPM 會使用兩個 AZs 的預設值。

不跨越多個AZs Auto Scaling 群組無法在另一個可用區域中啟動執行個體，以便在設定的單一可用區域無法使用時予以補償。不過，在某些使用案例中，可能會偏好具有單一可用區域的 Auto Scaling 群組，例如批次工作或需要將跨可用區域傳輸成本保持在最低限度。在這種情況下，您可以停用此控制項或隱藏其問題清單。

### 修補
<a name="autoscaling-2-remediation"></a>

若要將 AZs 新增至現有的 Auto Scaling 群組，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[新增和移除可用區域](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html)。

## 【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)
<a name="autoscaling-3"></a>

**相關要求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.6

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 Auto Scaling 群組啟動的所有執行個體上是否啟用 IMDSv2。 Amazon EC2 Auto Scaling 如果執行個體中繼資料服務 (IMDS) 版本未包含在啟動組態中或設定為 ，則控制項會失敗`token optional`，這是允許 IMDSv1 或 IMDSv2 的設定。

IMDS 提供執行個體的資料，可用來設定或管理執行中的執行個體。

IMDS 第 2 版新增了 IMDSv1 中無法使用的新保護，以進一步保護您的 EC2 執行個體。

### 修補
<a name="autoscaling-3-remediation"></a>

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態，請使用現有的啟動組態做為啟用 IMDSv2 的新啟動組態的基礎。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[設定新執行個體的執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)。

## 【AutoScaling.4] Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1
<a name="autoscaling-4"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查中繼資料字符可以移動的網路躍點數量。如果中繼資料回應跳轉限制大於 ，則控制項會失敗`1`。

Instance Metadata Service (IMDS) 提供 Amazon EC2 執行個體的中繼資料資訊，對於應用程式組態很有用。將中繼資料服務的 HTTP `PUT`回應限制為只有 EC2 執行個體可保護 IMDS 免於未經授權的使用。

IP 封包中的存留時間 (TTL) 欄位在每個躍點上減少一個。此減少項目可用來確保封包不會在 EC2 外部傳輸。IMDSv2 會保護可能已錯誤設定為開放路由器、第 3 層防火牆、VPNs、通道或 NAT 裝置的 EC2 執行個體，以防止未經授權的使用者擷取中繼資料。使用 IMDSv2 時，包含秘密字符的`PUT`回應無法在執行個體之外移動，因為預設中繼資料回應跳轉限制設定為 `1`。不過，如果此值大於 `1`，字符可能會離開 EC2 執行個體。

### 修補
<a name="autoscaling-4-remediation"></a>

若要修改現有啟動組態的中繼資料回應跳轉限制，請參閱《*Amazon EC2 使用者指南*》中的[修改現有執行個體的執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances)。

## 【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址
<a name="autoscaling-5"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Auto Scaling 群組相關聯的啟動組態是否將[公有 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses)指派給群組的執行個體。如果相關聯的啟動組態指派公有 IP 地址，則控制項會失敗。

Auto Scaling 群組啟動組態中的 Amazon EC2 執行個體不應具有相關聯的公有 IP 地址，但在有限的邊緣情況下除外。Amazon EC2 執行個體應只能從負載平衡器後方存取，而不是直接公開至網際網路。

### 修補
<a name="autoscaling-5-remediation"></a>

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態，請使用現有啟動組態作為新啟動組態的基礎。然後更新 Auto Scaling 群組，以便使用新啟動組態。如需step-by-step說明，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的變更 Auto Scaling 群組的啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html)。 *Amazon EC2 Auto Scaling * 建立新的啟動組態時，請在**其他組態**下，針對**進階詳細資訊、IP 地址類型**，選擇**不要將公有 IP 地址指派給任何執行個體**。

變更啟動組態後，Auto Scaling 會使用新的組態選項啟動新的執行個體。現有的執行個體不受影響。若要更新現有的執行個體，建議您重新整理執行個體，或允許自動擴展，以根據您的終止政策逐漸將較舊的執行個體取代為較新的執行個體。如需更新 Auto Scaling 執行個體的詳細資訊，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的更新 Auto Scaling 執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances)。 *Amazon EC2 Auto Scaling *

## 【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型
<a name="autoscaling-6"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否使用多個執行個體類型。如果 Auto Scaling 群組只定義一個執行個體類型，則控制項會失敗。

您可以將應用程式部署於在多個可用區域執行的多種執行個體類型之間，以增強可用性。Security Hub CSPM 建議使用多個執行個體類型，以便在您選擇的可用區域中執行個體容量不足時Auto Scaling 群組可以啟動另一個執行個體類型。

### 修補
<a name="autoscaling-6-remediation"></a>

若要建立具有多個執行個體類型的 Auto Scaling 群組，請參閱《Amazon EC2 [Auto Scaling 使用者指南》中的具有多個執行個體類型和購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。 *Amazon EC2 Auto Scaling *

## 【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本
<a name="autoscaling-9"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已從 Amazon EC2 EC2 Auto Scaling 群組。如果未使用啟動範本建立 Amazon EC2 Auto Scaling 群組，或未在混合執行個體政策中指定啟動範本，則此控制項會失敗。

您可以從 EC2 啟動範本或啟動組態建立 EC2 Auto Scaling 群組。不過，使用啟動範本建立 Auto Scaling 群組可確保您可以存取最新的功能和改進。

### 修補
<a name="autoscaling-9-remediation"></a>

若要使用 EC2 啟動範本建立 Auto Scaling 群組，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)。 *Amazon EC2 Auto Scaling * 如需有關如何以啟動範本取代啟動組態的資訊，請參閱《*Amazon EC2 使用者指南*》中的[以啟動範本取代啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html)。

## 【AutoScaling.10] 應標記 EC2 Auto Scaling 群組
<a name="autoscaling-10"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config rule：**`tagged-autoscaling-autoscalinggroup`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 Auto Scaling 群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 Auto Scaling 群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="autoscaling-10-remediation"></a>

若要將標籤新增至 Auto Scaling 群組，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的標籤 Auto Scaling 群組和執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html)。 *Amazon EC2 Auto Scaling *