Kontrol Security Hub untuk CodeBuild - AWS Security Hub
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas[CodeBuild.3] Log CodeBuild S3 harus dienkripsi[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil[CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk CodeBuild

Kontrol Security Hub ini mengevaluasi AWS CodeBuild layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

Persyaratan terkait: PCI DSS v3.2.1/8.2.1, NIST.800-53.r5 SA-3

Kategori: Lindungi > Pengembangan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::CodeBuild::Project

AWS Config aturan: codebuild-project-source-repo-url-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS CodeBuild repositori sumber proyek Bitbucket URL berisi token akses pribadi atau nama pengguna dan kata sandi. Kontrol gagal jika repositori sumber Bitbucket URL berisi token akses pribadi atau nama pengguna dan kata sandi.

catatan

Kontrol ini mengevaluasi sumber primer dan sumber sekunder dari proyek CodeBuild pembangunan. Untuk informasi selengkapnya tentang sumber proyek, lihat Beberapa sumber input dan sampel artefak keluaran di AWS CodeBuild Panduan Pengguna.

Kredensi login tidak boleh disimpan atau ditransmisikan dalam teks yang jelas atau muncul di repositori sumber. URL Alih-alih token akses pribadi atau kredensi masuk, Anda harus mengakses penyedia sumber Anda CodeBuild, dan mengubah repositori sumber Anda agar hanya berisi jalur URL ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensi masuk dapat mengakibatkan paparan data yang tidak diinginkan atau akses yang tidak sah.

Remediasi

Anda dapat memperbarui CodeBuild proyek Anda untuk digunakanOAuth.

Untuk menghapus otentikasi dasar/(GitHub) Token Akses Pribadi dari sumber CodeBuild proyek

  1. Buka CodeBuild konsol di https://console.aws.amazon.com/codebuild/.

  2. Pilih proyek build yang berisi token akses pribadi atau nama pengguna dan kata sandi.

  3. Dari Edit, pilih Sumber.

  4. Pilih Putuskan sambungan GitHub dari/Bitbucket.

  5. Pilih Connect menggunakan OAuth, lalu pilih Connect to GitHub/Bitbucket.

  6. Saat diminta, pilih otorisasi yang sesuai.

  7. Konfigurasikan ulang repositori Anda URL dan pengaturan konfigurasi tambahan, sesuai kebutuhan.

  8. Pilih Perbarui sumber.

Untuk informasi lebih lanjut, lihat CodeBuild menggunakan sampel berbasis kasus di AWS CodeBuild Panduan Pengguna.

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

Persyaratan terkait: PCI DSS v3.2.1/8.2.1, (7), NIST.800-53.r5 IA-5 NIST.800-53.r5 SA-3

Kategori: Lindungi > Pengembangan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::CodeBuild::Project

AWS Config aturan: codebuild-project-envvar-awscred-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah proyek berisi variabel lingkungan AWS_ACCESS_KEY_ID danAWS_SECRET_ACCESS_KEY.

Kredensi otentikasi AWS_ACCESS_KEY_ID dan tidak AWS_SECRET_ACCESS_KEY boleh disimpan dalam teks yang jelas, karena ini dapat menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.

Remediasi

Untuk menghapus variabel lingkungan dari CodeBuild proyek, lihat Mengubah setelan proyek build di AWS CodeBuilddi AWS CodeBuild Panduan Pengguna. Pastikan tidak ada yang dipilih untuk variabel Lingkungan.

Anda dapat menyimpan variabel lingkungan dengan nilai sensitif di AWS Systems Manager Parameter Menyimpan atau AWS Secrets Manager dan kemudian mengambilnya dari spesifikasi build Anda. Untuk petunjuk, lihat kotak berlabel Penting di bagian Lingkungan di AWS CodeBuild Panduan Pengguna.

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::CodeBuild::Project

AWS Config aturan: codebuild-project-s3-logs-encrypted

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah Amazon S3 mencatat AWS CodeBuild proyek dienkripsi. Kontrol gagal jika enkripsi dinonaktifkan untuk log S3 untuk sebuah CodeBuild proyek.

Enkripsi data saat istirahat adalah praktik terbaik yang disarankan untuk menambahkan lapisan manajemen akses di sekitar data Anda. Mengenkripsi log saat istirahat mengurangi risiko bahwa pengguna tidak diautentikasi AWS akan mengakses data yang disimpan pada disk. Ini menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data.

Remediasi

Untuk mengubah setelan enkripsi log S3 CodeBuild project, lihat Mengubah setelan project build di AWS CodeBuilddi AWS CodeBuild Panduan Pengguna.

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil

Persyaratan terkait: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::CodeBuild::Project

AWS Config aturan: codebuild-project-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah lingkungan CodeBuild proyek memiliki setidaknya satu opsi log, baik untuk S3 atau CloudWatch log diaktifkan. Kontrol ini gagal jika lingkungan CodeBuild proyek tidak memiliki setidaknya satu opsi log diaktifkan.

Dari perspektif keamanan, logging adalah fitur penting untuk memungkinkan upaya forensik masa depan dalam kasus insiden keamanan apa pun. Mengkorelasikan anomali dalam CodeBuild proyek dengan deteksi ancaman dapat meningkatkan kepercayaan pada keakuratan deteksi ancaman tersebut.

Remediasi

Untuk informasi selengkapnya tentang cara mengonfigurasi setelan log CodeBuild proyek, lihat Membuat proyek build (konsol) di Panduan CodeBuild Pengguna.

[CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa

penting

Security Hub menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.

Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

Kategori: Lindungi > Manajemen Akses Aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::CodeBuild::Project

AWS Config aturan: codebuild-project-environment-privileged-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS CodeBuild lingkungan proyek memiliki mode istimewa yang diaktifkan atau dinonaktifkan. Kontrol gagal jika lingkungan CodeBuild proyek memiliki mode istimewa yang diaktifkan.

Secara default, kontainer Docker tidak mengizinkan akses ke perangkat apa pun. Mode istimewa memberikan akses container Docker proyek build ke semua perangkat. Pengaturan privilegedMode dengan nilai true memungkinkan daemon Docker berjalan di dalam wadah Docker. Daemon Docker mendengarkan API permintaan Docker dan mengelola objek Docker seperti gambar, wadah, jaringan, dan volume. Parameter ini hanya boleh disetel ke true jika proyek build digunakan untuk membangun image Docker. Jika tidak, pengaturan ini harus dinonaktifkan untuk mencegah akses yang tidak diinginkan ke Docker APIs serta perangkat keras yang mendasarinya. Pengaturan privilegedMode untuk false membantu melindungi sumber daya penting dari gangguan dan penghapusan.

Remediasi

Untuk mengonfigurasi pengaturan lingkungan CodeBuild proyek, lihat Membuat proyek build (konsol) di Panduan CodeBuild Pengguna. Di bagian Lingkungan, jangan pilih pengaturan Privileged.

[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::CodeBuild::ReportGroup

AWS Config aturan: codebuild-report-group-encrypted-at-rest

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah hasil tes AWS CodeBuild grup laporan yang diekspor ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) dienkripsi saat istirahat. Kontrol gagal jika ekspor grup laporan tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

Remediasi

Untuk mengenkripsi ekspor grup laporan ke S3, lihat Memperbarui grup laporan di AWS CodeBuild Panduan Pengguna.