Security Hub-Steuerelemente für Amazon EFS - AWS Security Hub
[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein[EFS.3] EFS Access Points sollten ein Root-Verzeichnis erzwingen[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen[EFS.5] EFS Access Points sollten markiert werden[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon EFS

Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic File System (AmazonEFS).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v3.0.0/2.4.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::EFS::FileSystem

AWS Config Regel: efs-encrypted-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Amazon Elastic File System so konfiguriert ist, dass es die Dateidaten verschlüsselt mit AWS KMS. Die Prüfung schlägt in den folgenden Fällen fehl.

Beachten Sie, dass dieses Steuerelement den KmsKeyId-Parameter nicht für efs-encrypted-check verwendet. Es überprüft nur den Wert von Encrypted.

Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten bei Amazon EFS sollten Sie verschlüsselte Dateisysteme erstellen. Amazon EFS unterstützt die Verschlüsselung von Dateisystemen im Ruhezustand. Sie können die Verschlüsselung von Daten im Ruhezustand aktivieren, wenn Sie ein EFS Amazon-Dateisystem erstellen. Weitere Informationen zur EFS Amazon-Verschlüsselung finden Sie unter Datenverschlüsselung EFS in Amazon im Amazon Elastic File System-Benutzerhandbuch.

Abhilfe

Einzelheiten zur Verschlüsselung eines neuen EFS Amazon-Dateisystems finden Sie unter Verschlüsseln ruhender Daten im Amazon Elastic File System-Benutzerhandbuch.

[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Kategorie: Wiederherstellung > Resilienz > Backup

Schweregrad: Mittel

Art der Ressource: AWS::EFS::FileSystem

AWS Config Regel: efs-in-backup-plan

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Amazon Elastic File System (AmazonEFS) -Dateisysteme zu den Backup-Plänen in hinzugefügt wurden AWS Backup. Die Kontrolle schlägt fehl, wenn EFS Amazon-Dateisysteme nicht in den Backup-Plänen enthalten sind.

Die Aufnahme von EFS Dateisystemen in die Backup-Pläne hilft Ihnen, Ihre Daten vor Löschung und Datenverlust zu schützen.

Abhilfe

Informationen zum Aktivieren automatischer Backups für ein vorhandenes EFS Amazon-Dateisystem finden Sie unter Erste Schritte 4: EFS Automatische Amazon-Backups erstellen in der AWS Backup Entwicklerhandbuch.

[EFS.3] EFS Access Points sollten ein Root-Verzeichnis erzwingen

Verwandte Anforderungen: NIST.800-53.r5 AC-6 (10)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::EFS::AccessPoint

AWS Config Regel: efs-access-point-enforce-root-directory

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie ein Stammverzeichnis erzwingen. Die Steuerung schlägt fehl, wenn der Path Wert von auf / (das Standard-Stammverzeichnis des Dateisystems) gesetzt ist.

Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS Client, der den Access Point verwendet, das auf dem Access Point konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems. Wenn Sie ein Stammverzeichnis für einen Access Point erzwingen, können Sie den Datenzugriff einschränken, indem sichergestellt wird, dass Benutzer des Access Points nur auf Dateien des angegebenen Unterverzeichnisses zugreifen können.

Abhilfe

Anweisungen zur Durchsetzung eines Stammverzeichnisses für einen Amazon EFS Access Point finden Sie unter Enforcing a root directory with a access point im Amazon Elastic File System-Benutzerhandbuch.

[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

Verwandte Anforderungen: NIST.800-53.r5 AC-6 (2)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::EFS::AccessPoint

AWS Config Regel: efs-access-point-enforce-user-identity

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie eine Benutzeridentität erzwingen. Diese Kontrolle schlägt fehl, wenn bei der Erstellung des EFS Access Points keine POSIX Benutzeridentität definiert wurde.

Amazon EFS Access Points sind anwendungsspezifische Einstiegspunkte in ein EFS Dateisystem, die es einfacher machen, den Anwendungszugriff auf gemeinsam genutzte Datensätze zu verwalten. Access Points können eine Benutzeridentität, einschließlich der POSIX Benutzergruppen, für alle Dateisystemanfragen, die über den Access Point gestellt werden, durchsetzen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.

Abhilfe

Informationen zur Durchsetzung einer Benutzeridentität für einen Amazon EFS Access Point finden Sie unter Durchsetzung einer Benutzeridentität mithilfe eines Access Points im Amazon Elastic File System-Benutzerhandbuch.

[EFS.5] EFS Access Points sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EFS::AccessPoint

AWS Config Regel: tagged-efs-accesspoint (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Stichwörter, die übereinstimmen AWS Anforderungen Kein Standardwert

Diese Kontrolle prüft, ob ein Amazon EFS Access Point über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Access Point keine Tag-Schlüssel hat oder wenn er nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Access Point mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EFS Access Point finden Sie unter Tagging EFS Amazon-Ressourcen im Amazon Elastic File System-Benutzerhandbuch.

[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Mittel

Art der Ressource: AWS::EFS::FileSystem

AWS Config Regel: efs-mount-target-public-accessible

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob ein EFS Amazon-Mount-Ziel einem privaten Subnetz zugeordnet ist. Die Kontrolle schlägt fehl, wenn das Mount-Ziel einem öffentlichen Subnetz zugeordnet ist.

Standardmäßig ist ein Dateisystem nur von der Virtual Private Cloud (VPC) aus zugänglich, in der Sie es erstellt haben. Wir empfehlen, EFS Mount-Ziele in privaten Subnetzen zu erstellen, auf die nicht über das Internet zugegriffen werden kann. Dadurch wird sichergestellt, dass Ihr Dateisystem nur autorisierten Benutzern zugänglich ist und nicht für unbefugten Zugriff oder Angriffe anfällig ist.

Abhilfe

Sie können die Zuordnung zwischen einem EFS Mount-Ziel und einem Subnetz nicht ändern, nachdem Sie das Mount-Ziel erstellt haben. Um ein vorhandenes Mount-Ziel einem anderen Subnetz zuzuordnen, müssen Sie ein neues Mount-Ziel in einem privaten Subnetz erstellen und dann das alte Mount-Ziel entfernen. Informationen zur Verwaltung von Mount-Zielen finden Sie unter Erstellen und Verwalten von Mount-Zielen und Sicherheitsgruppen im Amazon Elastic File System-Benutzerhandbuch.

[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein

Kategorie: Wiederherstellen > Ausfallsicherheit > Backups aktiviert

Schweregrad: Mittel

Ressourcentyp: AWS::EFS::FileSystem

AWS Config Regel: efs-automatic-backups-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob in einem EFS Amazon-Dateisystem automatische Backups aktiviert sind. Diese Kontrolle schlägt fehl, wenn für das EFS Dateisystem keine automatischen Backups aktiviert sind.

Eine Datensicherung ist eine Kopie Ihrer System-, Konfiguration- oder Anwendungsdaten, die getrennt vom Original gespeichert wird. Durch die Aktivierung regelmäßiger Backups können Sie wertvolle Daten vor unvorhergesehenen Ereignissen wie Systemausfällen, Cyberangriffen oder versehentlichem Löschen schützen. Eine robuste Backup-Strategie ermöglicht auch eine schnellere Wiederherstellung, einen unterbrechungsfreien Betrieb und sorgt für mehr Sicherheit angesichts potenzieller Datenverluste.

Abhilfe

Für Informationen zur Verwendung von AWS Backup Informationen zu EFS Dateisystemen finden Sie unter Sichern von EFS Dateisystemen im Amazon Elastic File System-Benutzerhandbuch