Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kontrol Security Hub untuk Auto Scaling

PDF
RSS
Mode fokus
Kontrol Security Hub untuk Auto Scaling - AWS Security Hub
[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2[AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub ini mengevaluasi layanan dan EC2 sumber daya Amazon Auto Scaling.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB

Persyaratan terkait: PCI DSS v3.2.1/2.2,, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST

Kategori: Identifikasi > Persediaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup

AWS Config aturan: autoscaling-group-elb-healthcheck-required

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon yang dikaitkan dengan penyeimbang beban menggunakan pemeriksaan kesehatan Elastic Load Balancing ELB (). Kontrol gagal jika grup Auto Scaling tidak menggunakan pemeriksaan ELB kesehatan.

ELBPemeriksaan kesehatan membantu memastikan bahwa grup Auto Scaling dapat menentukan kesehatan instans berdasarkan tes tambahan yang disediakan oleh penyeimbang beban. Menggunakan pemeriksaan kesehatan Elastic Load Balancing juga membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto EC2 Scaling.

Remediasi

Untuk menambahkan pemeriksaan kesehatan Elastic Load Balancing, lihat Menambahkan pemeriksaan kesehatan Menambahkan Elastic Load Balancing di Panduan Pengguna Amazon Auto EC2 Scaling.

[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup

AWS Config aturan: autoscaling-multiple-az

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

minAvailabilityZones

Jumlah minimum Availability Zone

Enum

2, 3, 4, 5, 6

2

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon mencakup setidaknya jumlah Availability Zone () yang ditentukan. AZs Kontrol gagal jika grup Auto Scaling tidak menjangkau setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimumAZs, Security Hub menggunakan nilai default duaAZs.

Grup Auto Scaling yang tidak menjangkau beberapa instans tidak AZs dapat meluncurkan instance di AZ lain untuk mengkompensasi jika AZ tunggal yang dikonfigurasi menjadi tidak tersedia. Namun, grup Auto Scaling dengan satu Availability Zone mungkin lebih disukai dalam beberapa kasus penggunaan, seperti pekerjaan batch atau ketika biaya transfer antar-AZ harus dijaga seminimal mungkin. Dalam kasus seperti itu, Anda dapat menonaktifkan kontrol ini atau menekan temuannya.

Remediasi

Untuk menambahkan AZs ke grup Auto Scaling yang ada, lihat Menambahkan dan menghapus Availability Zone di Panduan Pengguna Amazon Auto EC2 Scaling.

[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2

Persyaratan terkait: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2, v4.0.1/2.2.6 PCI DSS

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration

AWS Config aturan: autoscaling-launchconfig-requires-imdsv2

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah IMDSv2 diaktifkan pada semua instans yang diluncurkan oleh grup EC2 Auto Scaling Amazon. Kontrol gagal jika versi Instance Metadata Service (IMDS) tidak disertakan dalam konfigurasi peluncuran atau dikonfigurasi sebagaitoken optional, yang merupakan pengaturan yang memungkinkan salah satu atauIMDSv1. IMDSv2

IMDSmenyediakan data tentang instance Anda yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan.

Versi 2 IMDS menambahkan perlindungan baru yang tidak tersedia IMDSv1 untuk melindungi instance Anda lebih lanjut. EC2

Remediasi

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru dengan IMDSv2 diaktifkan. Untuk informasi selengkapnya, lihat Mengonfigurasi opsi metadata instans untuk instance baru di Panduan Pengguna Amazon EC2.

[AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1

penting

Security Hub menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration

AWS Config aturan: autoscaling-launch-config-hop-limit

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa jumlah hop jaringan yang dapat ditempuh oleh token metadata. Kontrol gagal jika batas hop respons metadata lebih besar dari. 1

Layanan Metadata Instance (IMDS) menyediakan informasi metadata tentang EC2 instans Amazon dan berguna untuk konfigurasi aplikasi. Membatasi HTTP PUT respons untuk layanan metadata hanya untuk EC2 instance melindungi IMDS dari penggunaan yang tidak sah.

Bidang Time To Live (TTL) dalam paket IP dikurangi satu pada setiap hop. Pengurangan ini dapat digunakan untuk memastikan bahwa paket tidak bepergian ke luarEC2. IMDSv2melindungi EC2 instance yang mungkin salah dikonfigurasi sebagai router terbuka, firewall lapisan 3, terowongan, atau NAT perangkatVPNs, yang mencegah pengguna yang tidak sah mengambil metadata. DenganIMDSv2, PUT respons yang berisi token rahasia tidak dapat berjalan di luar instance karena batas hop respons metadata default disetel ke. 1 Namun, jika nilai ini lebih besar dari1, token dapat meninggalkan EC2 instance.

Remediasi

Untuk mengubah batas hop respons metadata untuk konfigurasi peluncuran yang ada, lihat Memodifikasi opsi metadata instans untuk instance yang ada di Panduan Pengguna Amazon. EC2

[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik

Persyaratan terkait: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::AutoScaling::LaunchConfiguration

AWS Config aturan: autoscaling-launch-config-public-ip-disabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah konfigurasi peluncuran terkait grup Auto Scaling menetapkan alamat IP publik ke instans grup. Kontrol gagal jika konfigurasi peluncuran terkait menetapkan alamat IP publik.

EC2Instans Amazon dalam konfigurasi peluncuran grup Auto Scaling tidak boleh memiliki alamat IP publik terkait, kecuali dalam kasus edge terbatas. EC2Instans Amazon seharusnya hanya dapat diakses dari belakang penyeimbang beban alih-alih langsung terpapar ke internet.

Remediasi

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru. Lalu, perbarui grup Auto Scaling Anda untuk menggunakan konfigurasi peluncuran baru. Untuk step-by-step petunjuknya, lihat Mengubah konfigurasi peluncuran untuk grup Auto Scaling di Panduan Pengguna Amazon Auto EC2 Scaling. Saat membuat konfigurasi peluncuran baru, di bawah Konfigurasi tambahan, untuk detail lanjutan, jenis alamat IP, pilih Jangan tetapkan alamat IP publik ke instance apa pun.

Setelah Anda mengubah konfigurasi peluncuran, Auto Scaling meluncurkan instance baru dengan opsi konfigurasi baru. Instance yang ada tidak terpengaruh. Untuk memperbarui instans yang ada, kami sarankan Anda menyegarkan instans Anda, atau mengizinkan penskalaan otomatis untuk secara bertahap mengganti instans lama dengan instans yang lebih baru berdasarkan kebijakan penghentian Anda. Untuk informasi selengkapnya tentang memperbarui instans Auto Scaling, lihat Memperbarui instans Auto Scaling di Panduan Pengguna Amazon Auto Scaling. EC2

[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup

AWS Config aturan: autoscaling-multiple-instance-types

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon menggunakan beberapa jenis instans. Kontrol gagal jika grup Auto Scaling hanya memiliki satu jenis instance yang ditentukan.

Anda dapat meningkatkan ketersediaan dengan menerapkan aplikasi Anda di beberapa jenis instans yang berjalan di beberapa Availability Zone. Security Hub merekomendasikan penggunaan beberapa jenis instans agar grup Auto Scaling dapat meluncurkan tipe instans lain jika kapasitas instans tidak mencukupi di Availability Zone yang Anda pilih.

Remediasi

Untuk membuat grup Auto Scaling dengan beberapa jenis instans, lihat grup Auto Scaling dengan beberapa jenis instans dan opsi pembelian di Panduan Pengguna Amazon Auto EC2 Scaling.

[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategori: Identifikasi > Konfigurasi Sumber Daya

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup

AWS Config aturan: autoscaling-launch-template

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon dibuat dari template EC2 peluncuran. Kontrol ini gagal jika grup EC2 Auto Scaling Amazon tidak dibuat dengan templat peluncuran atau jika templat peluncuran tidak ditentukan dalam kebijakan instance campuran.

Grup EC2 Auto Scaling dapat dibuat dari template EC2 peluncuran atau konfigurasi peluncuran. Namun, menggunakan template peluncuran untuk membuat grup Auto Scaling memastikan bahwa Anda memiliki akses ke fitur dan peningkatan terbaru.

Remediasi

Untuk membuat grup Auto Scaling dengan template EC2 peluncuran, lihat Membuat grup Auto Scaling menggunakan template peluncuran di Panduan Pengguna Amazon Auto EC2 Scaling. Untuk informasi tentang cara mengganti konfigurasi peluncuran dengan templat peluncuran, lihat Mengganti konfigurasi peluncuran dengan templat peluncuran di Panduan EC2 Pengguna Amazon.

[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::AutoScaling::AutoScalingGroup

AWS Config aturan: tagged-autoscaling-autoscalinggroup (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika grup Auto Scaling tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. requiredTagKeys Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup Auto Scaling tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke grup Auto Scaling, lihat Menandai grup dan instance Auto Scaling di Panduan Pengguna Amazon EC2 Auto Scaling.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.