Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Kinesis
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Kinesis.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::Kinesis::Stream
Règle AWS Config : kinesis-stream-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les Kinesis Data Streams sont chiffrés au repos avec un chiffrement côté serveur. Ce contrôle échoue si un flux Kinesis n'est pas chiffré au repos par chiffrement côté serveur.
Le chiffrement côté serveur est une fonctionnalité d'Amazon Kinesis Data Streams qui chiffre automatiquement les données avant qu'elles ne soient inactives à l'aide d'un. AWS KMS key Les données sont chiffrées avant leur écriture sur la couche de stockage du flux Kinesis et déchiffrées après leur extraction de l'espace de stockage. Par conséquent, vos données sont chiffrées au repos dans le service Amazon Kinesis Data Streams.
Correction
Pour plus d'informations sur l'activation du chiffrement côté serveur pour les flux Kinesis, voir Comment démarrer avec le chiffrement côté serveur ? dans le manuel Amazon Kinesis Developer Guide.
[Kinesis.2] Les flux Kinesis doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Kinesis::Stream
AWS Config règle : tagged-kinesis-stream (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un flux de données Amazon Kinesis comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le flux de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un flux de données Kinesis, consultez la section Marquage de vos flux dans Amazon Kinesis Data Streams dans le manuel Amazon Kinesis Developer Guide.
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::Kinesis::Stream
Règle AWS Config : kinesis-stream-backup-retention-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
Nombre minimum d'heures pendant lesquelles les données doivent être conservées. | Chaîne | 24 à 8760 | 168 |
Ce contrôle vérifie si la durée de conservation des données d'un flux de données Amazon Kinesis est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des données est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des données, Security Hub utilise une valeur par défaut de 168 heures.
Dans Kinesis Data Streams, un flux de données est une séquence ordonnée d'enregistrements de données destinés à être écrits et lus en temps réel. Les enregistrements de données sont temporairement stockés sous forme de fragments dans votre flux. La période entre le moment où un enregistrement est ajouté et celui où il n'est plus accessible est appelée la période de conservation. Kinesis Data Streams rend presque immédiatement inaccessibles les enregistrements antérieurs à la nouvelle période de conservation après la réduction de la durée de conservation. Par exemple, si la période de conservation est portée de 24 heures à 48 heures, les enregistrements ajoutés au flux 23 heures 55 minutes auparavant continuent d'être disponibles au bout de 24 heures.
Correction
Pour modifier la période de conservation des sauvegardes pour vos Kinesis Data Streams, consultez la section Modifier la période de conservation des données dans le manuel Amazon Kinesis Data Streams Developer Guide.
