Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Lambda kontrol
Kontrol ini terkait dengan sumber daya Lambda.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, Nist.800-53.R5 AC-21, Nist.800-53.r5 AC-3, Nist.800-53.r5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), Nist.800-53.r5 AC-6, Nist.800-53.r5 SC-7, Nist.800-53.r5 SC-7 (11), Nist.800-53.r5 SC-7 (16), Nist.800-53.r5 SC-7 (20), NIST.800-53.R5 SC-7 (21), Nist.800-53.r5 SC-7 (3), Nist.800-53.r5 SC-7 (4), Nist.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-function-public-access-prohibited
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. AWS:SourceAccount
Sebaiknya gunakan kondisi S3 lainnya beserta AWS:SourceAccount
kebijakan bucket Anda untuk akses yang lebih disempurnakan.
Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.
Remediasi
Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. AWS:SourceAccount
Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda API atau. AWS CLI
Untuk memulai, tinjau kebijakan berbasis sumber daya di konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai Principal
bidang yang membuat kebijakan publik, seperti "*"
atau{ "AWS": "*" }
.
Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan remove-permission
perintah dari file. AWS CLI
$ aws lambda remove-permission --function-name
<function-name>
--statement-id<statement-id>
Ganti
dengan nama fungsi Lambda, dan <function-name>
dengan pernyataan ID (<statement-id>
Sid
) dari pernyataan yang ingin Anda hapus.
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
Persyaratan terkait: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Kategori: Lindungi > Pengembangan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-function-settings-check
Jenis jadwal: Perubahan dipicu
Parameter:
-
runtime
:dotnet8, dotnet6, java21, java17, java11, java8.al2, nodejs20.x, nodejs18.x, nodejs16.x, python3.12, python3.11, python3.10, python3.9, python3.8, ruby3.3, ruby3.2
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah setelan fungsi Lambda untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung untuk setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung.
Kontrol memeriksa pengaturan fungsi untuk runtime yang disebutkan sebelumnya di bawah parameter. Security Hub mengabaikan fungsi yang memiliki tipe paket. Image
Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime usang, fungsi ini masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan bahwa fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. Untuk daftar runtime yang didukung, lihat runtime Lambda di AWS Lambda Panduan Pengembang.
Remediasi
Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian waktu proses di Panduan Pengembang.AWS Lambda Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan pembaruan runtime untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.
[Lambda.3] Fungsi Lambda harus dalam VPC
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, Nist.800-53.r5 AC-21, Nist.800-53.r5 AC-3, Nist.800-53.r5 AC-3 (7), Nist.800-53.r5 00-53.r5 AC-4, Nist.800-53.r5 AC-4 (21), Nist.800-53.r5 AC-6, Nist.800-53.r5 SC-7, Nist.800-53.r5 SC-7 (11), Nist.800-53.r5 SC-7 (16), Nist.800-53.r5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-inside-vpc
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah fungsi Lambda digunakan di cloud pribadi virtual (VPC). Kontrol gagal jika fungsi Lambda tidak diterapkan di VPC. Security Hub tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.
Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan penerapan VPC untuk memenuhi beragam persyaratan aplikasi.
Remediasi
Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di VPC Anda, lihat Mengonfigurasi akses VPC di Panduan Pengembang.AWS Lambda Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
Persyaratan terkait: Nist.800-53.r5 CP-10, Nist.800-53.R5 CP-6 (2), Nist.800-53.R5 SC-36, Nist.800-53.R5 SC-5 (2), Nist.800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan Tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Lambda::Function
AWS Config aturan: lambda-vpc-multi-az-check
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
|
Jumlah minimum Availability Zone |
Enum |
|
|
Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZ) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah AZ yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk jumlah minimum AZ, Security Hub menggunakan nilai default dua AZ.
Menyebarkan sumber daya di beberapa AZ adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.
Remediasi
Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke VPC di akun Anda, tentukan subnet di beberapa AZ untuk memastikan ketersediaan tinggi. Untuk petunjuk, lihat Mengonfigurasi akses VPC di Panduan AWS Lambda Pengembang.
Lambda secara otomatis menjalankan fungsi lain di beberapa AZ untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.