Controles de Security Hub para Amazon EFS - AWS Security Hub

Controles de Security Hub para Amazon EFS

Estos controles de Security Hub evalúan el servicio y los recursos de Amazon Elastic File System (Amazon EFS).

Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[EFS.1] Elastic File System debe configurarse para cifrar los datos del archivo en reposo con AWS KMS

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.4.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::EFS::FileSystem

Regla de AWS Config: efs-encrypted-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo con AWS KMS. La comprobación falla en los siguientes casos.

Tenga en cuenta que este control no utiliza el parámetro KmsKeyId para efs-encrypted-check. Solo comprueba el valor de Encrypted.

Para añadir un nivel de seguridad a sus datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo cuando cree un sistema de archivos de Amazon EFS. Para obtener más información acerca del cifrado de Amazon EFS, consulte Cifrado de datos en Amazon EFS en la Guía del usuario de Amazon Elastic File System.

Corrección

Para obtener información detallada sobre cómo cifrar un nuevo sistema de archivos de Amazon EFS, consulte Cifrado de datos en reposo en la Guía del usuario de Amazon Elastic File System.

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Backup

Gravedad: media

Tipo de recurso: AWS::EFS::FileSystem

Regla de AWS Config: efs-in-backup-plan

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) se han agregado a los planes de copia de seguridad en AWS Backup. El control falla si los sistemas de archivos Amazon EFS no están incluidos en los planes de backup.

La inclusión de los sistemas de archivos EFS en los planes de copia de seguridad le ayuda a proteger sus datos contra la eliminación y la pérdida de datos.

Corrección

Para habilitar las copias de seguridad automáticas para un sistema de archivos Amazon EFS existente, consulte Introducción 4: Creación de copias de seguridad automáticas de Amazon EFS en la Guía para desarrolladores de AWS Backup.

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

Requisitos relacionados: NIST.800-53.r5 AC-6(10)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::EFS::AccessPoint

Regla de AWS Config: efs-access-point-enforce-root-directory

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar un directorio raíz. El control falla si el valor Path se establece como / (el directorio raíz predeterminado del sistema de archivos).

Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos, ya que garantiza que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.

Corrección

Para obtener instrucciones sobre cómo aplicar un directorio raíz para un punto de acceso de Amazon EFS, consulte Aplicación de un directorio raíz con un punto de acceso en la Guía del usuario de Amazon Elastic File System.

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

Requisitos relacionados: NIST.800-53.r5 AC-6(2)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::EFS::AccessPoint

Regla de AWS Config: efs-access-point-enforce-user-identity

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para imponer la identidad de un usuario. Este control falla si no se define una identidad de usuario POSIX al crear el punto de acceso EFS.

Los puntos de accesode Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

Corrección

Para hacer cumplir la identidad de un usuario para un punto de acceso de Amazon EFS, consulte Imponer una identidad de usuario mediante un punto de acceso en la Guía del usuario de Amazon Elastic File System.

[EFS.5] Los puntos de acceso de EFS deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::EFS::AccessPoint

Regla de AWS Config: tagged-efs-accesspoint (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS Sin valor predeterminado

Este control comprueba si un punto de acceso de Amazon EFS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza error si el punto de acceso no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de acceso no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.

Corrección

Para agregar etiquetas a un punto de acceso de EFS, consulte Etiquetado de los recursos de Amazon EFS en la Guía del usuario de Amazon Elastic File System.

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: media

Tipo de recurso: AWS::EFS::FileSystem

Regla de AWS Config: efs-mount-target-public-accessible

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un destino de montaje de Amazon EFS está asociado a una subred privada. El control lanza error si el destino de montaje está asociado a una subred pública.

De forma predeterminada, solo se puede acceder a un sistema de archivos desde la nube privada virtual (VPC) en la que se creó. Recomendamos crear destinos de montaje de EFS en subredes privadas a las que no se pueda acceder desde Internet. Esto ayuda a garantizar que solo los usuarios autorizados puedan acceder a su sistema de archivos y que este no sea vulnerable a ataques o accesos no autorizados.

Corrección

No puede cambiar la asociación entre un destino de montaje de EFS y una subred después de crear el destino de montaje. Para asociar un destino de montaje existente a una subred diferente, debe crear un destino de montaje nuevo en una subred privada y luego, eliminar el destino de montaje anterior. Para obtener información acerca de la administración de destinos de montaje, consulte Creación y administración de destinos de montaje y grupos de seguridad en la Guía del usuario de Amazon Elastic File System.

[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::EFS::FileSystem

Regla de AWS Config: efs-automatic-backups-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un sistema de archivos de Amazon EFS tiene habilitadas las copias de seguridad automáticas. Este control lanza error si el sistema de archivos de EFS no tiene habilitadas las copias de seguridad automáticas.

Una copia de seguridad de datos es una copia de los datos del sistema, la configuración o la aplicación que se almacena por separado del original. La habilitación de copias de seguridad periódicas ayuda a proteger los datos valiosos frente a eventos imprevistos, como errores del sistema, ciberataques o eliminaciones accidentales. Contar con una estrategia de copia de seguridad sólida también permite una recuperación más rápida, una continuidad empresarial y brinda tranquilidad frente a una posible pérdida de datos.

Corrección

Para obtener información acerca del uso de AWS Backup para sistemas de archivos de EFS, consulte Creación de copias de seguridad de sistemas de archivos de EFS en la Guía del usuario de Amazon Elastic File System.

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

Categoría: Proteger > Protección de datos > Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::EFS::FileSystem

Regla de AWS Config: efs-filesystem-ct-encrypted

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

kmsKeyArns

Lista separada por comas de los nombres de recursos de Amazon (ARN) para AWS KMS keys. Si se proporciona, el control produce un resultado PASSED solo si el sistema de archivos de EFS está cifrado con las claves KMS especificadas.

StringList

ARN de clave KMS válidos

Sin valor predeterminado

Este control comprueba si un sistema de archivos de Amazon EFS cifra los datos con AWS Key Management Service (AWS KMS). El control lanza error si un sistema de archivos no está cifrado. Si lo desea, puede incluir el parámetro kmsKeyArns para comprobar si un sistema de archivos está cifrado con claves KMS específicas.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

Corrección

Para habilitar el cifrado en reposo para un sistema de archivos de EFS nuevo, consulte Cifrado de datos en reposo en la Guía del usuario de Amazon Elastic File System.