Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudFront Amazon-Kontrollen
Diese Kontrollen beziehen sich auf CloudFront Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
Verwandte Anforderungen: NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16)
Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-default-root-object-configured
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Root-Objekt ist. Die Steuerung schlägt fehl, wenn für die CloudFront Verteilung kein Standard-Stammobjekt konfiguriert ist.
Ein Benutzer kann manchmal die Stamm-URL der Distribution anstelle eines Objekts in der Distribution anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden.
Abhilfe
Informationen zur Konfiguration eines Standard-Root-Objekts für eine CloudFront Distribution finden Sie unter How to specify a default root object im Amazon CloudFront Developer Guide.
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
Verwandte Anforderungen: NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIst.800-53.R5 SC-12 (3), NIst.800-53.R5 SC-13, NIst.800-53.R5 SC-23, NIst.800-53.R5 SC-23 (3), NIst.NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-viewer-policy-https
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution verlangt, dass Zuschauer HTTPS direkt verwenden, oder ob sie eine Umleitung verwendet. Die Steuerung schlägt fehl, wenn sie auf allow-all für defaultCacheBehavior oder für cacheBehaviors gesetzt ViewerProtocolPolicy ist.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.
Abhilfe
Informationen zum Verschlüsseln einer CloudFront Verteilung während der Übertragung finden Sie unter HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront im Amazon CloudFront Developer Guide.
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-origin-failover-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution mit einer Ursprungsgruppe konfiguriert ist, die zwei oder mehr Ursprünge hat.
CloudFront Origin-Failover kann die Verfügbarkeit erhöhen. Origin-Failover leitet den Datenverkehr automatisch an einen sekundären Ursprung weiter, wenn der primäre Ursprung nicht verfügbar ist oder wenn bestimmte HTTP-Antwortstatuscodes zurückgegeben werden.
Abhilfe
Informationen zur Konfiguration des Origin-Failovers für eine CloudFront Distribution finden Sie unter Creating an Origin Group im Amazon CloudFront Developer Guide.
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, NIST.800-53.r5 AU-3 R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-accesslogs-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist.
CloudFront Zugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden Benutzeranfrage CloudFront . Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter.
Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Weitere Hinweise zur Analyse von Zugriffsprotokollen finden Sie unter Abfragen von CloudFront Amazon-Protokollen im Amazon Athena-Benutzerhandbuch.
Abhilfe
Informationen zur Konfiguration der Zugriffsprotokollierung für eine CloudFront Distribution finden Sie unter Konfiguration und Verwendung von Standardprotokollen (Zugriffsprotokollen) im Amazon CloudFront Developer Guide.
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 AC-4 (21)
Kategorie: Schützen > Schutzdienste
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-associated-with-waf
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob CloudFront Distributionen entweder AWS WAF Classic- oder AWS WAF Web-ACLs zugeordnet sind. Das Steuerelement schlägt fehl, wenn die Verteilung keiner Web-ACL zugeordnet ist.
AWS WAF ist eine Firewall für Webanwendungen, die dazu beiträgt, Webanwendungen und APIs vor Angriffen zu schützen. Sie ermöglicht es ihnen, eine Gruppe von Regeln (eine sogenannte Web-Zugriffskontrollliste oder Web-ACL) zum Zulassen, Blockieren oder Zählen von Webanforderungen basierend auf von Ihnen definierten anpassbaren Web-Sicherheitsregeln und Bedingungen zu konfigurieren. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
Abhilfe
Informationen zum Verknüpfen einer AWS WAF Web-ACL mit einer CloudFront Distribution finden Sie unter Verwendung AWS WAF zur Zugriffskontrolle auf Ihre Inhalte im Amazon CloudFront Developer Guide.
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden
Verwandte Anforderungen: NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIst.800-53.R5 SC-12 (3), NIst.800-53.R5 SC-13, NIst.800-53.R5 SC-23, NIst.800-53.R5 SC-23 (3), NIst.NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-custom-ssl-certificate
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob CloudFront Distributionen die standardmäßigen SSL-/TLS-Zertifikate verwenden. CloudFront Diese Kontrolle ist erfolgreich, wenn die CloudFront Distribution ein benutzerdefiniertes SSL/TLS-Zertifikat verwendet. Diese Kontrolle schlägt fehl, wenn die CloudFront Verteilung das standardmäßige SSL/TLS-Zertifikat verwendet.
Benutzerdefiniertes SSL/TLS ermöglicht Ihren Benutzern den Zugriff auf Inhalte mithilfe alternativer Domainnamen. Sie können benutzerdefinierte Zertifikate in AWS Certificate Manager (empfohlen) oder in IAM speichern.
Abhilfe
Informationen zum Hinzufügen eines alternativen Domainnamens für eine CloudFront Distribution mit einem benutzerdefinierten SSL/TLS-Zertifikat finden Sie unter Hinzufügen eines alternativen Domainnamens im Amazon CloudFront Developer Guide.
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-sni-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen ein benutzerdefiniertes SSL/TLS-Zertifikat verwenden und so konfiguriert sind, dass sie SNI für die Bearbeitung von HTTPS-Anfragen verwenden. Diese Kontrolle schlägt fehl, wenn ein benutzerdefiniertes SSL/TLS-Zertifikat zugeordnet ist, die SSL/TLS-Unterstützungsmethode jedoch eine dedizierte IP-Adresse ist.
Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von SNI bedient werden, verknüpfen Sie CloudFront Ihren alternativen Domainnamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse für Ihren Domänennamen wird während der SSL-/TLS-Handshake-Aushandlung bestimmt; die IP-Adresse ist nicht für Ihre Verteilung reserviert.
Abhilfe
Informationen zur Konfiguration einer CloudFront Distribution für die Verwendung von SNI zur Bearbeitung von HTTPS-Anfragen finden Sie unter Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen (funktioniert für die meisten Kunden) im CloudFront Entwicklerhandbuch.
[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln
Verwandte Anforderungen: NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIst.800-53.R5 SC-12 (3), NIst.800-53.R5 SC-13, NIst.800-53.R5 SC-23, NIst.800-53.R5 SC-23 (3), NIst.NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-traffic-to-origin-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln. Diese Kontrolle schlägt bei einer CloudFront Distribution fehl, deren Ursprungsprotokollrichtlinie „Nur HTTP“ zulässt. Diese Kontrolle schlägt auch fehl, wenn die Ursprungsprotokollrichtlinie der Distribution „Match-Viewer“ lautet, während die Viewer-Protokollrichtlinie „Allow-all“ lautet.
HTTPS (TLS) kann verwendet werden, um das Abhören oder Manipulieren des Netzwerkverkehrs zu verhindern. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden.
Abhilfe
Informationen zur Aktualisierung der Origin-Protokollrichtlinie, sodass für eine CloudFront Verbindung eine Verschlüsselung erforderlich ist, finden Sie im Amazon CloudFront Developer Guide unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich machen.
[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden
Verwandte Anforderungen: NIst.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIst.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIst.800-53.R5 SC-23, NIst.800-53.R5 SC-7 (4), NIst.NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-no-deprecated-ssl-protocols
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen veraltete SSL-Protokolle für die HTTPS-Kommunikation zwischen CloudFront Edge-Standorten und Ihren benutzerdefinierten Ursprüngen verwenden. Diese Kontrolle schlägt fehl, wenn eine CloudFront Distribution über ein Where Includes verfügtCustomOriginConfig. OriginSslProtocols SSLv3
Im Jahr 2015 gab die Internet Engineering Task Force (IETF) offiziell bekannt, dass SSL 3.0 nicht mehr unterstützt werden sollte, da das Protokoll nicht ausreichend sicher ist. Es wird empfohlen, TLSv1.2 oder höher für die HTTPS-Kommunikation mit Ihren benutzerdefinierten Ursprüngen zu verwenden.
Abhilfe
Informationen zur Aktualisierung der Origin-SSL-Protokolle für eine CloudFront Distribution finden Sie unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich im Amazon CloudFront Developer Guide.
[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen
Verwandte Anforderungen: NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-s3-origin-non-existent-bucket
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen auf nicht existierende Amazon S3-Ursprünge verweisen. Die Kontrolle schlägt bei einer CloudFront Distribution fehl, wenn der Ursprung so konfiguriert ist, dass er auf einen nicht existierenden Bucket verweist. Diese Steuerung gilt nur für CloudFront Distributionen, bei denen ein S3-Bucket ohne statisches Website-Hosting der S3-Ursprung ist.
Wenn eine CloudFront Distribution in Ihrem Konto so konfiguriert ist, dass sie auf einen nicht existierenden Bucket verweist, kann ein böswilliger Dritter den Bucket erstellen, auf den verwiesen wird, und seine eigenen Inhalte über Ihre Distribution bereitstellen. Wir empfehlen, alle Ursprünge unabhängig vom Routing-Verhalten zu überprüfen, um sicherzustellen, dass Ihre Distributionen auf die richtigen Ursprünge verweisen.
Abhilfe
Informationen zum Ändern einer CloudFront Distribution, sodass sie auf einen neuen Ursprung verweist, finden Sie unter Aktualisieren einer Distribution im Amazon CloudFront Developer Guide.
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich
Schweregrad: Mittel
Art der Ressource: AWS::CloudFront::Distribution
AWS Config -Regel: cloudfront-s3-origin-access-control-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob für eine CloudFront Amazon-Distribution mit einem Amazon S3-Ursprung die Origin Access Control (OAC) konfiguriert ist. Die Kontrolle schlägt fehl, wenn OAC nicht für die CloudFront Distribution konfiguriert ist.
Wenn Sie einen S3-Bucket als Ursprung für Ihre CloudFront Distribution verwenden, können Sie OAC aktivieren. Dies ermöglicht den Zugriff auf den Inhalt im Bucket nur über die angegebene CloudFront Distribution und verhindert den direkten Zugriff aus dem Bucket oder einer anderen Distribution. Obwohl Origin Access Identity (OAI) CloudFront unterstützt wird, bietet OAC zusätzliche Funktionen, und Distributionen, die OAI verwenden, können zu OAC migriert werden. OAI bietet zwar eine sichere Möglichkeit, auf S3-Ursprünge zuzugreifen, weist jedoch Einschränkungen auf, z. B. mangelnde Unterstützung für detaillierte Richtlinienkonfigurationen und für HTTP/HTTPS-Anfragen, die die POST-Methode verwenden und für die Signature Version 4 (Sigv4) erforderlich ist. AWS-Regionen AWS OAI unterstützt auch keine Verschlüsselung mit. AWS Key Management Service OAC basiert auf einer AWS bewährten Methode zur Verwendung von IAM-Dienstprinzipalen zur Authentifizierung mit S3-Ursprüngen.
Abhilfe
Informationen zur Konfiguration von OAC für eine CloudFront Distribution mit S3-Ursprüngen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.
[CloudFront.14] CloudFront Distributionen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFront::Distribution
AWS Config Regel: tagged-cloudfront-distribution (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Distribution keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Verteilung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer CloudFront Distribution finden Sie unter Tagging CloudFront Amazon-Distributionen im Amazon CloudFront Developer Guide.
