Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Elastic Load Balancing
Diese AWS Security Hub Kontrollen bewerten den Elastic Load Balancing Service und die Ressourcen.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden an HTTPS
Verwandte Anforderungen: PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), 3 (3), NIST.800-53.r5 SC-1 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-8 .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: alb-http-to-https-redirection-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob HTTP die HTTPS Umleitung auf allen HTTP Listenern von Application Load Balancers konfiguriert ist. Die Steuerung schlägt fehl, wenn für einen der HTTP Listener von Application Load Balancers keine Umleitung konfiguriert werden muss. HTTP HTTPS
Bevor Sie Ihren Application Load Balancer verwenden können, müssen Sie einen oder mehrere Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den Port verwendet, um nach Verbindungsanforderungen zu suchen. Listener unterstützen sowohl die als auch die HTTP Protokolle. HTTPS Sie können einen HTTPS Listener verwenden, um die Arbeit der Verschlüsselung und Entschlüsselung auf Ihren Load Balancer auszulagern. Um die Verschlüsselung während der Übertragung zu erzwingen, sollten Sie Umleitungsaktionen mit Application Load Balancers verwenden, um HTTP Client-Anfragen an eine Anfrage an HTTPS Port 443 umzuleiten.
Weitere Informationen finden Sie unter Listener für Ihre Application Load Balancers im Benutzerhandbuch für Application Load Balancers.
Abhilfe
Um HTTP Anfragen umzuleitenHTTPS, müssen Sie eine Application Load Balancer Balancer-Listener-Regel hinzufügen oder eine bestehende Regel bearbeiten.
Anweisungen zum Hinzufügen einer neuen Regel finden Sie unter Regel hinzufügen im Benutzerhandbuch für Application Load Balancers. Wählen Sie für Protocol: Port die Option aus HTTP, und geben Sie dann ein80. Wählen HTTPSSie für Aktion hinzufügen die Option Umleiten zu aus und geben Sie dann die Eingabetaste ein443.
Anweisungen zum Bearbeiten einer vorhandenen Regel finden Sie unter Regel bearbeiten im Benutzerhandbuch für Application Load Balancers. Wählen Sie für Protocol: Port die Option aus HTTP, und geben Sie dann ein80. Wählen HTTPSSie für Aktion hinzufügen die Option Umleiten zu aus und geben Sie dann die Eingabetaste ein443.
[ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (5), (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: elb-acm-certificate-required
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der Classic Load Balancer HTTPS SSL /-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt werden. Die Steuerung schlägt fehl, wenn der mit HTTPS SSL /listener konfigurierte Classic Load Balancer kein von bereitgestelltes Zertifikat verwendet. ACM
Um ein Zertifikat zu erstellen, können Sie entweder ACM oder ein Tool verwenden, das die SSL TLS AND-Protokolle unterstützt, z. B. Open. SSL Security Hub empfiehlt, dass Sie es verwenden, ACM um Zertifikate für Ihren Load Balancer zu erstellen oder zu importieren.
ACMintegriert sich in Classic Load Balancers, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Sie sollten diese Zertifikate auch automatisch erneuern.
Abhilfe
Informationen zum Zuordnen eines ACM SSL TLS /-Zertifikats zu einem Classic Load Balancer finden Sie im AWS Knowledge Center-Artikel Wie kann ich ein ACM SSL TLS /-Zertifikat mit einem Classic-, Anwendungs- oder Network Load Balancer verknüpfen
[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: elb-tls-https-listeners-only
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Ihre Classic Load Balancer Balancer-Listener mit einem HTTPS TLS Protokoll für Front-End-Verbindungen (Client zu Load Balancer) konfiguriert sind. Die Steuerung ist anwendbar, wenn ein Classic Load Balancer über Listener verfügt. Wenn für Ihren Classic Load Balancer kein Listener konfiguriert ist, meldet die Steuerung keine Ergebnisse.
Die Steuerung ist erfolgreich, wenn die Classic Load Balancer Balancer-Listener mit TLS oder HTTPS für Front-End-Verbindungen konfiguriert sind.
Die Steuerung schlägt fehl, wenn der Listener nicht mit TLS oder HTTPS für Frontend-Verbindungen konfiguriert ist.
Bevor Sie mit der Verwendung eines Load Balancers beginnen, müssen Sie einen oder mehrere Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den Port verwendet, um nach Verbindungsanforderungen zu suchen. Listener können sowohl als auch die /-Protokolle HTTP unterstützen. HTTPS TLS Sie sollten immer einen HTTPS TLS OR-Listener verwenden, damit der Load Balancer die Ver- und Entschlüsselung während der Übertragung übernimmt.
Abhilfe
Um dieses Problem zu beheben, aktualisieren Sie Ihre Listener so, dass sie das OR-Protokoll verwenden. TLS HTTPS
Um alle nicht konformen Listener in /Listener zu ändern TLS HTTPS
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich unter Load Balancing die Option Load Balancers aus.
Wählen Sie Ihren Classic Load Balancer aus.
-
Wählen Sie auf der Registerkarte Listeners die Option Edit aus.
-
Ändern Sie für alle Listener, bei denen das Load Balancer-Protokoll nicht auf HTTPS oder gesetzt istSSL, die Einstellung auf HTTPS oder. SSL
-
Wählen Sie für alle modifizierten Listener auf der Registerkarte Zertifikate die Option Standard ändern aus.
-
Wählen Sie für ACMIAMZertifikate ein Zertifikat aus.
-
Wählen Sie Als Standard speichern aus.
-
Nachdem Sie alle Listener aktualisiert haben, wählen Sie Speichern.
[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden
Verwandte Anforderungen: NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2)
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: alb-http-drop-invalid-header-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement bewertet, ob ein Application Load Balancer so konfiguriert ist, dass er ungültige HTTP Header löscht. Das Steuerelement schlägt fehl, wenn der Wert von auf gesetzt routing.http.drop_invalid_header_fields.enabled ist. false
Standardmäßig sind Application Load Balancer nicht so konfiguriert, dass sie ungültige HTTP Header-Werte löschen. Durch das Entfernen dieser Header-Werte werden HTTP Desync-Angriffe verhindert.
Anmerkung
Wir empfehlen, dieses Steuerelement zu deaktivieren, falls ELB 1.2 in Ihrem Konto aktiviert ist. Weitere Informationen finden Sie unter [ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden.
Abhilfe
Um dieses Problem zu beheben, konfigurieren Sie Ihren Load Balancer so, dass ungültige Header-Felder gelöscht werden.
Um den Load Balancer so zu konfigurieren, dass ungültige Header-Felder gelöscht werden
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/
. -
Klicken Sie im Navigationsbereich auf Load balancers (Load Balancer).
-
Wählen Sie einen Application Load Balancer.
-
Wählen Sie unter Aktionen die Option Attribute bearbeiten aus.
-
Wählen Sie unter Ungültige Header-Felder löschen die Option Aktivieren aus.
-
Wählen Sie Save (Speichern) aus.
[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
AWS::ElasticLoadBalancing::LoadBalancerRessourcentyp:, AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: elb-logging-enabled
Zeitplantyp: Änderung ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der Application Load Balancer und der Classic Load Balancer die Protokollierung aktiviert haben. Ist dies der Fall, schlägt die Steuerung fehl. access_logs.s3.enabled false
Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anforderungen erfassen, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. Sie können diese Zugriffsprotokolle für die Analyse von Datenverkehrsmustern und zur Problembehebung verwenden.
Weitere Informationen finden Sie unter Zugriffsprotokolle für Ihren Classic Load Balancer im Benutzerhandbuch für Classic Load Balancer.
Abhilfe
Informationen zum Aktivieren von Zugriffsprotokollen finden Sie unter Schritt 3: Zugriffsprotokolle konfigurieren im Benutzerhandbuch für Application Load Balancers.
[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: elb-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für eine Anwendung, ein Gateway oder ein Network Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz deaktiviert ist.
Aktivieren Sie den Löschschutz, um Ihre Anwendung, Ihr Gateway oder Ihren Network Load Balancer vor dem Löschen zu schützen.
Abhilfe
Um zu verhindern, dass der Load Balancer versehentlich gelöscht wird, können Sie den Löschschutz aktivieren. Standardmäßig ist der Löschschutz für Ihren Load Balancer deaktiviert.
Wenn Sie den Löschschutz für Ihren Load Balancer aktivieren, müssen Sie den Löschschutz deaktivieren, bevor Sie den Load Balancer löschen können.
Informationen zum Aktivieren des Löschschutzes für einen Application Load Balancer finden Sie unter Löschschutz im Benutzerhandbuch für Application Load Balancer. Informationen zum Aktivieren des Löschschutzes für einen Gateway Load Balancer finden Sie unter Löschschutz im Benutzerhandbuch für Gateway Load Balancer. Informationen zum Aktivieren des Löschschutzes für einen Network Load Balancer finden Sie unter Löschschutz im Benutzerhandbuch für Network Load Balancer.
[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Kategorie: Erholung > Resilienz
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config Regel: elb-connection-draining-enabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob bei Classic Load Balancers der Verbindungsabbau aktiviert ist.
Durch die Aktivierung des Verbindungsabbaus auf Classic Load Balancers wird sichergestellt, dass der Load Balancer keine Anfragen mehr an Instances sendet, die sich abmelden oder deren Status beeinträchtigt ist. Es hält die bestehenden Verbindungen offen. Dies ist besonders nützlich für Instances in Auto Scaling Scaling-Gruppen, um sicherzustellen, dass Verbindungen nicht abrupt unterbrochen werden.
Abhilfe
Informationen zum Aktivieren des Verbindungsabbaus auf Classic Load Balancers finden Sie unter Connection Draining für Ihren Classic Load Balancer konfigurieren im Benutzerhandbuch für Classic Load Balancers.
[ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: elb-predefined-security-policy-ssl-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
predefinedPolicyName:ELBSecurityPolicy-TLS-1-2-2017-01(nicht anpassbar)
Dieses Steuerelement prüft, ob Ihr Classic Load Balancer HTTPS /Ihre SSL Listener die vordefinierte Richtlinie verwenden. ELBSecurityPolicy-TLS-1-2-2017-01 Die Steuerung schlägt fehl, wenn der Classic Load BalancerHTTPS//SSLListener nicht verwendet wird. ELBSecurityPolicy-TLS-1-2-2017-01
Eine Sicherheitsrichtlinie ist eine Kombination aus SSL Protokollen, Chiffren und der Option Server Order Preference. Vordefinierte Richtlinien steuern die Verschlüsselungen, Protokolle und Präferenzreihenfolgen, die bei SSL Verhandlungen zwischen einem Client und einem Load Balancer unterstützt werden sollen.
Die Verwendung ELBSecurityPolicy-TLS-1-2-2017-01 kann Ihnen dabei helfen, die Compliance- und Sicherheitsstandards zu erfüllen, nach denen Sie bestimmte Versionen von und deaktivieren müssen. SSL TLS Weitere Informationen finden Sie unter Vordefinierte SSL Sicherheitsrichtlinien für Classic Load Balancers im Benutzerhandbuch für Classic Load Balancers.
Abhilfe
Informationen zur Verwendung der vordefinierten Sicherheitsrichtlinie ELBSecurityPolicy-TLS-1-2-2017-01 mit einem Classic Load Balancer finden Sie unter Sicherheitseinstellungen konfigurieren im Benutzerhandbuch für Classic Load Balancers.
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: elb-cross-zone-load-balancing-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der zonenübergreifende Load Balancing für die Classic Load Balancer aktiviert ist ()CLBs. Die Steuerung schlägt fehl, wenn der zonenübergreifende Load Balancing für a nicht aktiviert ist. CLB
Ein Load Balancer-Knoten verteilt den Verkehr nur auf die registrierten Ziele in seiner Availability Zone. Wenn zonenübergreifendes Load Balancing deaktiviert ist, verteilt jeder Load Balancer-Knoten den Datenverkehr gleichmäßig nur auf die registrierten Ziele in seiner Availability Zone. Wenn die Anzahl der registrierten Ziele in den Availability Zones nicht identisch ist, wird der Verkehr nicht gleichmäßig verteilt und die Instances in einer Zone werden möglicherweise im Vergleich zu den Instances in einer anderen Zone überlastet. Wenn zonenübergreifendes Load Balancing aktiviert ist, verteilt jeder Load Balancer-Knoten für Ihren Classic Load Balancer Anfragen gleichmäßig auf die registrierten Instances in allen aktivierten Availability Zones. Einzelheiten finden Sie unter Zonenübergreifendes Load Balancing im Elastic Load Balancing User Guide.
Abhilfe
Informationen zur Aktivierung von zonenübergreifendem Load Balancing in einem Classic Load Balancer finden Sie unter Aktivieren von zonenübergreifendem Load Balancing im Benutzerhandbuch für Classic Load Balancer.
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: clb-multiple-az
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Mindestanzahl von Availability Zones |
Enum |
|
|
Dieses Steuerelement prüft, ob ein Classic Load Balancer so konfiguriert wurde, dass er sich über mindestens die angegebene Anzahl von Availability Zones (AZs) erstreckt. Die Steuerung schlägt fehl, wenn der Classic Load Balancer nicht mindestens die angegebene Anzahl von AZs umfasst. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angebenAZs, verwendet Security Hub den Standardwert AZs 2.
Ein Classic Load Balancer kann so eingerichtet werden, dass eingehende Anfragen auf EC2 Amazon-Instances in einer einzigen Availability Zone oder mehreren Availability Zones verteilt werden. Ein Classic Load Balancer, der sich nicht über mehrere Availability Zones erstreckt, kann den Traffic nicht zu Zielen in einer anderen Availability Zone umleiten, wenn die einzige konfigurierte Availability Zone nicht mehr verfügbar ist.
Abhilfe
Informationen zum Hinzufügen von Availability Zones zu einem Classic Load Balancer finden Sie unter Hinzufügen oder Entfernen von Subnetzen für Ihren Classic Load Balancer im Benutzerhandbuch für Classic Load Balancer.
[ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 .800-53.r5 CM-2 NIST
Kategorie: Schützen > Datenschutz > Datenintegrität
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: alb-desync-mode-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
desyncMode:defensive, strictest(nicht anpassbar)
Dieses Steuerelement prüft, ob ein Application Load Balancer mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist. Die Steuerung schlägt fehl, wenn ein Application Load Balancer nicht mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist.
HTTPDesync-Probleme können dazu führen, dass Anfragen geschmuggelt werden und Anwendungen anfällig für Queue-Anfragen oder Cache-Poisoning werden. Diese Sicherheitsanfälligkeiten können wiederum dazu führen, dass Anmeldedaten überlastet werden oder nicht autorisierte Befehle ausgeführt werden. Application Load Balancer, die mit dem defensiven Modus oder dem Modus „Strikteste Desync-Abwehr“ konfiguriert sind, schützen Ihre Anwendung vor Sicherheitsproblemen, die durch Desync verursacht werden können. HTTP
Abhilfe
Informationen zum Aktualisieren des Desync-Minimationsmodus eines Application Load Balancer finden Sie unter Desync-Minimationsmodus im Benutzerhandbuch für Application Load Balancers.
[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: elbv2-multiple-az
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Mindestanzahl von Availability Zones |
Enum |
|
|
Dieses Steuerelement prüft, ob ein Elastic Load Balancer V2 (Application, Network oder Gateway Load Balancer) Instances aus mindestens der angegebenen Anzahl von Availability Zones (AZs) registriert hat. Die Steuerung schlägt fehl, wenn auf einem Elastic Load Balancer V2 keine Instances in mindestens der angegebenen Anzahl von AZs registriert sind. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angebenAZs, verwendet Security Hub den Standardwert AZs 2.
Elastic Load Balancing verteilt Ihren eingehenden Traffic automatisch auf mehrere Ziele wie EC2 Instances, Container und IP-Adressen in einer oder mehreren Availability Zones. Elastic Load Balancing skaliert Ihren Load Balancer, wenn sich der eingehende Datenverkehr im Laufe der Zeit ändert. Es wird empfohlen, mindestens zwei Availability Zones zu konfigurieren, um die Verfügbarkeit von Diensten sicherzustellen, da der Elastic Load Balancer den Traffic in eine andere Availability Zone weiterleiten kann, falls eine nicht verfügbar ist. Durch die Konfiguration mehrerer Availability Zones wird vermieden, dass es für die Anwendung nur einen einzigen Fehlerpunkt gibt.
Abhilfe
Informationen zum Hinzufügen einer Availability Zone zu einem Application Load Balancer finden Sie unter Availability Zones for your Application Load Balancer im Benutzerhandbuch für Application Load Balancer. Informationen zum Hinzufügen einer Availability Zone zu einem Network Load Balancer finden Sie unter Network Load Balancers im Benutzerhandbuch für Network Load Balancer. Informationen zum Hinzufügen einer Availability Zone zu einem Gateway Load Balancer finden Sie unter Erstellen eines Gateway Load Balancers im Benutzerhandbuch für Gateway Load Balancer.
[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 .800-53.r5 CM-2 NIST
Kategorie: Schützen > Datenschutz > Datenintegrität
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config -Regel: clb-desync-mode-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
desyncMode:defensive, strictest(nicht anpassbar)
Dieses Steuerelement prüft, ob ein Classic Load Balancer mit einem defensiven oder dem strengsten Desync-Minimierungsmodus konfiguriert ist. Die Steuerung schlägt fehl, wenn der Classic Load Balancer nicht mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist.
HTTPDesync-Probleme können dazu führen, dass Anfragen geschmuggelt werden und Anwendungen anfällig für Queue-Anfragen oder Cache-Poisoning werden. Diese Sicherheitsanfälligkeiten können wiederum zur Entführung von Anmeldeinformationen oder zur Ausführung nicht autorisierter Befehle führen. Classic Load Balancer, die mit dem defensiven Modus oder dem Modus „Strikteste Desync-Abwehr“ konfiguriert sind, schützen Ihre Anwendung vor Sicherheitsproblemen, die durch Desync verursacht werden können. HTTP
Abhilfe
Informationen zum Aktualisieren des Desync-Mitigationsmodus auf einem Classic Load Balancer finden Sie unter Ändern des Desync-Mitigationsmodus im Benutzerhandbuch für Classic Load Balancer.
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)
Kategorie: Schützen > Schutzdienste
Schweregrad: Mittel
Art der Ressource: AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Config -Regel: alb-waf-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Application Load Balancer einer AWS WAF Classic- oder AWS WAF Web-Zugriffskontrollliste (WebACL) zugeordnet ist. Die Steuerung schlägt fehl, wenn das Enabled Feld für die AWS WAF Konfiguration auf false gesetzt ist.
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Mit AWS WAF können Sie ein Web ACL konfigurieren. Dabei handelt es sich um eine Reihe von Regeln, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Wir empfehlen, Ihren Application Load Balancer mit einem AWS WAF Web ACL zu verknüpfen, um ihn vor böswilligen Angriffen zu schützen.
Abhilfe
Informationen zum Zuordnen eines Application Load Balancer zu einer Website finden Sie unter Web ACL ACL mit einer AWS Ressource verknüpfen oder deren Zuordnung aufheben im Entwicklerhandbuch.AWS WAF
