Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon ECR
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Container Registry (Amazon ECR).
Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3, PCI DSS v4.0.1/6.2.4
Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ECR::Repository
AWS Config -Regel: ecr-private-image-scanning-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob für ein privates Amazon ECR-Repository das Scannen von Bildern konfiguriert ist. Die Steuerung schlägt fehl, wenn das private ECR-Repository nicht für Scan on Push oder kontinuierliches Scannen konfiguriert ist.
Das Scannen von ECR-Bildern hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Die Konfiguration von Bildscans in ECR-Repositorys bietet eine zusätzliche Überprüfungsebene für die Integrität und Sicherheit der gespeicherten Bilder.
Abhilfe
Informationen zum Konfigurieren von Bildscans für ein ECR-Repository finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide.
[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)
Kategorie: Identifizieren > Inventar > Kennzeichnung
Schweregrad: Mittel
Art der Ressource: AWS::ECR::Repository
AWS Config -Regel: ecr-private-tag-immutability-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem privaten ECR-Repository die Tag-Unveränderlichkeit aktiviert ist. Diese Kontrolle schlägt fehl, wenn in einem privaten ECR-Repository die Tag-Unveränderlichkeit deaktiviert ist. Diese Regel gilt, wenn die Tag-Unveränderlichkeit aktiviert ist und den Wert hat. IMMUTABLE
Amazon ECR Tag Immutability ermöglicht es Kunden, sich auf die beschreibenden Tags eines Bildes als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Bildern zu verlassen. Ein unveränderliches Tag ist statisch, was bedeutet, dass sich jedes Tag auf ein eindeutiges Bild bezieht. Dies verbessert die Zuverlässigkeit und Skalierbarkeit, da die Verwendung eines statischen Tags immer dazu führt, dass dasselbe Image bereitgestellt wird. Wenn sie konfiguriert ist, verhindert die Unveränderlichkeit von Tags, dass die Tags überschrieben werden, wodurch die Angriffsfläche reduziert wird.
Abhilfe
Informationen zum Erstellen eines Repositorys mit konfigurierten unveränderlichen Tags oder zum Aktualisieren der Image-Tag-Mutabilitätseinstellungen für ein vorhandenes Repository finden Sie unter Image-Tag-Mutability im Amazon Elastic Container Registry-Benutzerhandbuch.
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::ECR::Repository
AWS Config -Regel: ecr-private-lifecycle-policy-configured
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob für ein Amazon ECR-Repository mindestens eine Lebenszyklusrichtlinie konfiguriert ist. Diese Kontrolle schlägt fehl, wenn für ein ECR-Repository keine Lebenszyklusrichtlinien konfiguriert sind.
Mit Amazon ECR-Lebenszyklusrichtlinien können Sie das Lebenszyklusmanagement von Images in einem Repository festlegen. Durch die Konfiguration von Lebenszyklusrichtlinien können Sie die Bereinigung ungenutzter Images und das Verfallsdatum von Images je nach Alter oder Anzahl automatisieren. Durch die Automatisierung dieser Aufgaben können Sie verhindern, dass versehentlich veraltete Bilder in Ihrem Repository verwendet werden.
Abhilfe
Informationen zur Konfiguration einer Lifecycle-Richtlinie finden Sie unter Creating a Lifecycle Policy Preview im Amazon Elastic Container Registry User Guide.
[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::ECR::PublicRepository
AWS Config Regel: tagged-ecr-publicrepository (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein öffentliches Amazon ECR-Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Kontrolle schlägt fehl, wenn das öffentliche Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das öffentliche Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem öffentlichen ECR-Repository finden Sie unter Tagging an ein öffentliches Amazon ECR-Repository im Amazon Elastic Container Registry-Benutzerhandbuch.
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
Verwandte Anforderungen: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::ECR::Repository
AWS Config -Regel: ecr-repository-cmk-encryption-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen |
StringList (maximal 10 Elemente) |
1—10 ARNs der vorhandenen KMS-Schlüssel. Zum Beispiel: |
Kein Standardwert |
Diese Kontrolle prüft, ob ein Amazon ECR-Repository im Ruhezustand verschlüsselt ist und von einem Kunden verwaltet AWS KMS key wird. Die Kontrolle schlägt fehl, wenn das ECR-Repository nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.
Standardmäßig verschlüsselt Amazon ECR Repository-Daten mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) unter Verwendung eines AES-256-Algorithmus. Für zusätzliche Kontrolle können Sie Amazon ECR so konfigurieren, dass die Daten stattdessen mit einem AWS KMS key (SSE-KMS oder DSSE-KMS) verschlüsselt werden. Der KMS-Schlüssel kann sein: ein Von AWS verwalteter Schlüssel , den Amazon ECR für Sie erstellt und verwaltet und der den Alias hataws/ecr, oder ein vom Kunden verwalteter Schlüssel, den Sie in Ihrem AWS-Konto erstellen und verwalten. Mit einem vom Kunden verwalteten KMS-Schlüssel haben Sie die volle Kontrolle über den Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels.
Anmerkung
AWS KMS unterstützt den kontoübergreifenden Zugriff auf KMS-Schlüssel. Wenn ein ECR-Repository mit einem KMS-Schlüssel verschlüsselt ist, der einem anderen Konto gehört, führt dieses Steuerelement bei der Auswertung des Repositorys keine kontoübergreifenden Prüfungen durch. Die Kontrolle bewertet nicht, ob Amazon ECR auf den Schlüssel zugreifen und ihn verwenden kann, wenn kryptografische Operationen für das Repository ausgeführt werden.
Abhilfe
Sie können die Verschlüsselungseinstellungen für ein vorhandenes ECR-Repository nicht ändern. Sie können jedoch andere Verschlüsselungseinstellungen für ECR-Repositorys angeben, die Sie anschließend erstellen. Amazon ECR unterstützt die Verwendung verschiedener Verschlüsselungseinstellungen für einzelne Repositorys.
Weitere Informationen zu Verschlüsselungsoptionen für ECR-Repositorys finden Sie unter Encryption at rest im Amazon ECR-Benutzerhandbuch. Weitere Informationen zu „Customer Managed AWS KMS keys“ finden Sie AWS KMS keysim Developer Guide.AWS Key Management Service
