Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli di Amazon EC2 Auto Scaling
Questi controlli sono correlati alle risorse di Amazon EC2 Auto Scaling.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB
Requisiti correlati: PCI DSS v3.2.1/2.2, NIST .800-53.r5 CA-7, .800-53.r5 CP-2 (2), .800-53.r5 SI-2 NIST NIST
Categoria: Identificazione > Inventario
Gravità: bassa
Tipo di risorsa: AWS::AutoScaling::AutoScalingGroup
Regola AWS Config : autoscaling-group-elb-healthcheck-required
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling associato a un sistema di bilanciamento del carico utilizza i controlli di integrità di Elastic Load Balancing ELB (). Il controllo ha esito negativo se il gruppo Auto Scaling non utilizza i controlli di ELB integrità.
ELBi controlli di integrità aiutano a garantire che un gruppo di Auto Scaling possa determinare lo stato di un'istanza sulla base di test aggiuntivi forniti dal sistema di bilanciamento del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing aiuta anche a supportare la disponibilità delle applicazioni che utilizzano i gruppi di Auto EC2 Scaling.
Correzione
Per aggiungere i controlli di integrità di Elastic Load Balancing, consulta Add Elastic Load Balancing health check nella Amazon Auto EC2 Scaling User Guide.
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-2 (2), NIST .800-53.r5 CP-6 (2), .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::AutoScaling::AutoScalingGroup
Regola AWS Config : autoscaling-multiple-az
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero minimo di zone di disponibilità |
Enum |
|
|
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling copre almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un gruppo Auto Scaling non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo diAZs, Security Hub utilizza un valore predefinito pari a dueAZs.
Un gruppo di Auto Scaling che non si estende su più aree non AZs può avviare istanze in un'altra zona per compensare l'eventuale indisponibilità della singola AZ configurata. Tuttavia, un gruppo di Auto Scaling con una singola zona di disponibilità può essere preferito in alcuni casi d'uso, come i lavori in batch o quando i costi di trasferimento tra le AZ devono essere ridotti al minimo. In questi casi, è possibile disabilitare questo controllo o eliminarne i risultati.
Correzione
Per aggiungere AZs a un gruppo Auto Scaling esistente, consulta Aggiungere e rimuovere zone di disponibilità nella Amazon Auto EC2 Scaling User Guide.
[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2
Requisiti correlati: NIST .800-53.r5 AC-3, .800-53.r5 AC-3 (15), .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-6, .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2 NIST NIST NIST
Categoria: Protezione > Configurazione di rete protetta
Gravità: alta
Tipo di risorsa: AWS::AutoScaling::LaunchConfiguration
Regola AWS Config : autoscaling-launchconfig-requires-imdsv2
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se IMDSv2 è abilitato su tutte le istanze avviate dai gruppi Amazon EC2 Auto Scaling. Il controllo fallisce se la versione di Instance Metadata Service (IMDS) non è inclusa nella configurazione di avvio o è configurata cometoken optional, ovvero un'impostazione che consente o. IMDSv1 IMDSv2
IMDSfornisce dati sull'istanza che è possibile utilizzare per configurare o gestire l'istanza in esecuzione.
La versione 2 di IMDS aggiunge nuove protezioni che non erano disponibili IMDSv1 per proteggere ulteriormente le istanze. EC2
Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo Auto Scaling, utilizzate una configurazione di avvio esistente come base per una nuova configurazione di avvio con IMDSv2 enabled. Per ulteriori informazioni, consulta Configurare le opzioni dei metadati delle istanze per le nuove istanze nella Amazon EC2 User Guide.
[AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1
Importante
Security Hub ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta Registro delle modifiche per i controlli del Security Hub.
Requisiti correlati: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Categoria: Protezione > Configurazione di rete protetta
Gravità: alta
Tipo di risorsa: AWS::AutoScaling::LaunchConfiguration
Regola AWS Config : autoscaling-launch-config-hop-limit
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica il numero di hop di rete che un token di metadati può percorrere. Il controllo ha esito negativo se il limite dell'hop di risposta ai metadati è maggiore di. 1
L'Instance Metadata Service (IMDS) fornisce informazioni sui metadati su un'EC2istanza Amazon ed è utile per la configurazione delle applicazioni. Limitare la HTTP PUT risposta per il servizio di metadati alla sola EC2 istanza lo protegge dall'IMDSuso non autorizzato.
Il campo Time To Live (TTL) nel pacchetto IP viene ridotto di uno per ogni hop. Questa riduzione può essere utilizzata per garantire che il pacchetto non viaggi all'esterno. EC2 IMDSv2protegge EC2 le istanze che potrebbero essere state configurate erroneamente come router aperti, firewall di livello 3, tunnel o NAT dispositiviVPNs, impedendo così agli utenti non autorizzati di recuperare i metadati. ConIMDSv2, la PUT risposta che contiene il token segreto non può uscire dall'istanza perché il limite di hop della risposta ai metadati predefinito è impostato su. 1 Tuttavia, se questo valore è maggiore di1, il token può lasciare l'EC2istanza.
Correzione
Per modificare il limite dell'hop di risposta ai metadati per una configurazione di avvio esistente, consulta Modificare le opzioni dei metadati dell'istanza per le istanze esistenti nella Amazon EC2 User Guide.
[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici
Requisiti correlati: NIST .800-53.r5 AC-21, NIST .800-53.r5 AC-3, .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (11), .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::AutoScaling::LaunchConfiguration
Regola AWS Config : autoscaling-launch-config-public-ip-disabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la configurazione di avvio associata a un gruppo di Auto Scaling assegna un indirizzo IP pubblico alle istanze del gruppo. Il controllo fallisce se la configurazione di avvio associata assegna un indirizzo IP pubblico.
EC2Le istanze Amazon in una configurazione di avvio di gruppo Auto Scaling non devono avere un indirizzo IP pubblico associato, tranne in casi limite limitati. EC2Le istanze Amazon dovrebbero essere accessibili solo da un sistema di bilanciamento del carico anziché essere esposte direttamente a Internet.
Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo con scalabilità automatica, utilizza una configurazione di avvio esistente come base per una nuova configurazione. Quindi, aggiorna il gruppo Auto Scaling affinché utilizzi la nuova configurazione di avvio. Per step-by-step istruzioni, consulta Modificare la configurazione di avvio per un gruppo Auto Scaling nella Amazon Auto EC2 Scaling User Guide. Quando crei la nuova configurazione di avvio, in Configurazione aggiuntiva, per Dettagli avanzati, tipo di indirizzo IP, scegli Non assegnare un indirizzo IP pubblico a nessuna istanza.
Dopo aver modificato la configurazione di avvio, Auto Scaling avvia nuove istanze con le nuove opzioni di configurazione. Le istanze esistenti non sono interessate. Per aggiornare un'istanza esistente, ti consigliamo di aggiornare l'istanza o di consentire il ridimensionamento automatico per sostituire gradualmente le istanze più vecchie con quelle più recenti in base alle tue politiche di terminazione. Per ulteriori informazioni sull'aggiornamento delle istanze di Auto Scaling, consulta Update Auto Scaling istances nella Amazon Auto Scaling User Guide. EC2
[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-2 (2), NIST .800-53.r5 CP-6 (2), .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::AutoScaling::AutoScalingGroup
Regola AWS Config : autoscaling-multiple-instance-types
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling utilizza più tipi di istanze. Il controllo fallisce se il gruppo Auto Scaling ha un solo tipo di istanza definito.
È possibile aumentare la disponibilità distribuendo l’applicazione su più tipi di istanze in esecuzione in più zone di disponibilità. Security Hub consiglia di utilizzare più tipi di istanze in modo che il gruppo Auto Scaling possa avviare un altro tipo di istanza se la capacità delle istanze nelle zone di disponibilità scelte è insufficiente.
Correzione
Per creare un gruppo Auto Scaling con più tipi di istanze, consulta Gruppi di Auto Scaling con più tipi di istanze e opzioni di acquisto nella Amazon Auto EC2 Scaling User Guide.
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
Requisiti correlati: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Categoria: Identificazione > Configurazione delle risorse
Gravità: media
Tipo di risorsa: AWS::AutoScaling::AutoScalingGroup
Regola AWS Config : autoscaling-launch-template
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling viene creato a partire da un modello di EC2 lancio. Questo controllo fallisce se un gruppo Amazon EC2 Auto Scaling non viene creato con un modello di lancio o se un modello di avvio non è specificato in una politica a istanze miste.
Un gruppo EC2 Auto Scaling può essere creato da un modello di EC2 avvio o da una configurazione di avvio. Tuttavia, l'utilizzo di un modello di avvio per creare un gruppo Auto Scaling garantisce l'accesso alle funzionalità e ai miglioramenti più recenti.
Correzione
Per creare un gruppo Auto Scaling con un modello di EC2 lancio, consulta Creare un gruppo Auto Scaling utilizzando un modello di avvio nella Amazon Auto EC2 Scaling User Guide. Per informazioni su come sostituire una configurazione di avvio con un modello di avvio, consulta Sostituire una configurazione di avvio con un modello di avvio nella Amazon EC2 User Guide.
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::AutoScaling::AutoScalingGroup
AWS Config regola: tagged-autoscaling-autoscalinggroup (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gruppo Auto Scaling non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo Auto Scaling non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti AWS servizi, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un gruppo di Auto Scaling, consulta Gruppi e istanze di Tag Auto Scaling nella Amazon EC2 Auto Scaling User Guide.
