Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Amazon Elastic File System
Kontrol ini terkait dengan sumber daya Amazon EFS.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.4.1, Nist.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-3 (6), Nist.800-53.r5 SC-13, Nist.800-53.r5 SC-28, Nist.800-53.r5 SC-28 (1), NIST.800-800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::EFS::FileSystem
AWS Config aturan: efs-encrypted-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus-kasus berikut.
-
Encrypteddiatur kefalsedalamDescribeFileSystemsrespons. -
KmsKeyIdKunci dalamDescribeFileSystemsrespons tidak cocok denganKmsKeyIdparameter untukefs-encrypted-check.
Perhatikan bahwa kontrol ini tidak menggunakan KmsKeyId parameter untuk efs-encrypted-check. Itu hanya memeriksa nilaiEncrypted.
Untuk lapisan keamanan tambahan untuk data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat Enkripsi data di Amazon EFS di Panduan Pengguna Amazon Elastic File System.
Remediasi
Untuk detail tentang cara mengenkripsi sistem file Amazon EFS baru, lihat Mengenkripsi data saat istirahat di Panduan Pengguna Amazon Elastic File System.
[EFS.2] Volume Amazon EFS harus dalam rencana cadangan
Persyaratan terkait: Nist.800-53.r5 CP-10, Nist.800-53.r5 CP-6, Nist.800-53.R5 CP-6 (1), Nist.800-53.r5 CP-6 (2), Nist.800-53.r5 CP-9, Nist.800-53.r5 SC-5 (2), Nist.800-53.r5 SC-5 (2), Nist.800-53.r5 00-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Cadangan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::EFS::FileSystem
AWS Config aturan: efs-in-backup-plan
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam paket cadangan.
Menyertakan sistem file EFS dalam paket cadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.
Remediasi
Untuk mengaktifkan pencadangan otomatis untuk sistem file Amazon EFS yang ada, lihat Memulai 4: Membuat cadangan otomatis Amazon EFS di Panduan Pengembang.AWS Backup
[EFS.3] Titik akses EFS harus menegakkan direktori root
Persyaratan terkait: Nist.800-53.r5 AC-6 (10)
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::EFS::AccessPoint
AWS Config aturan: efs-access-point-enforce-root-directory
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai Path diatur ke / (direktori root default dari sistem file).
Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.
Remediasi
Untuk petunjuk tentang cara menerapkan direktori root untuk jalur akses Amazon EFS, lihat Menerapkan direktori root dengan titik akses di Panduan Pengguna Amazon Elastic File System.
[EFS.4] Titik akses EFS harus menegakkan identitas pengguna
Persyaratan terkait: Nist.800-53.r5 AC-6 (2)
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::EFS::AccessPoint
AWS Config aturan: efs-access-point-enforce-user-identity
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas pengguna POSIX tidak ditentukan saat membuat titik akses EFS.
Titik akses Amazon EFS adalah titik masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.
Remediasi
Untuk menerapkan identitas pengguna untuk jalur akses Amazon EFS, lihat Menerapkan identitas pengguna menggunakan titik akses di Panduan Pengguna Amazon Elastic File System.
[EFS.5] Titik akses EFS harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::EFS::AccessPoint
AWS Config aturan: tagged-efs-accesspoint (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah titik akses Amazon EFS memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke titik akses EFS, lihat Menandai resource Amazon EFS di Panduan Pengguna Amazon Elastic File System.
[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::EFS::FileSystem
AWS Config aturan: efs-mount-target-public-accessible
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah target pemasangan Amazon EFS dikaitkan dengan subnet pribadi. Kontrol gagal jika target pemasangan dikaitkan dengan subnet publik.
Secara default, sistem file hanya dapat diakses dari virtual private cloud (VPC) tempat Anda membuatnya. Kami merekomendasikan untuk membuat target pemasangan EFS di subnet pribadi yang tidak dapat diakses dari internet. Ini membantu memastikan bahwa sistem file Anda hanya dapat diakses oleh pengguna yang berwenang dan tidak rentan terhadap akses atau serangan yang tidak sah.
Remediasi
Anda tidak dapat mengubah asosiasi antara target pemasangan EFS dan subnet setelah membuat target pemasangan. Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet pribadi dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat Membuat dan mengelola target mount dan grup keamanan di Panduan Pengguna Amazon Elastic File System.
