Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per Amazon CloudFront
Questi AWS Security Hub controlli valutano il CloudFront servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
Requisiti correlati: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
Categoria: Protezione > Gestione sicura degli accessi > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-default-root-object-configured
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per restituire un oggetto specifico che è l'oggetto root predefinito. Il controllo fallisce se nella CloudFront distribuzione non è configurato un oggetto root predefinito.
A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web.
Correzione
Per configurare un oggetto radice predefinito per una CloudFront distribuzione, consulta Come specificare un oggetto radice predefinito nella Amazon CloudFront Developer Guide.
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-viewer-policy-https
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo fallisce se ViewerProtocolPolicy è impostato su allow-all for defaultCacheBehavior o for. cacheBehaviors
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.
Correzione
Per crittografare una CloudFront distribuzione in transito, consulta la sezione Richiedere HTTPS per la comunicazione tra gli spettatori e CloudFront nella Amazon CloudFront Developer Guide.
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: bassa
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-origin-failover-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata con un gruppo di origine che ha due o più origini.
CloudFront il failover di origine può aumentare la disponibilità. Il failover di origine reindirizza automaticamente il traffico verso un'origine secondaria se l'origine principale non è disponibile o se restituisce codici di stato di risposta HTTP specifici.
Correzione
Per configurare il failover di origine per una CloudFront distribuzione, consulta Creating an origin group nella Amazon CloudFront Developer Guide.
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-accesslogs-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo ha esito negativo se la registrazione dei log di accesso non è abilitata per una distribuzione. Questo controllo valuta solo se la registrazione standard (legacy) è abilitata per una distribuzione.
CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta. CloudFront Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Per ulteriori informazioni sull'analisi dei log di accesso, consulta Interroga i CloudFront log di Amazon nella Amazon Athena User Guide.
Correzione
Per configurare la registrazione standard (legacy) per una CloudFront distribuzione, consulta Configure standard logging (legacy) nella Amazon CloudFront Developer Guide.
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
Requisiti correlati: NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
Categoria: Proteggi > Servizi di protezione
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-associated-with-waf
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni sono associate a AWS WAF Classic o AWS WAF Web. ACLs Il controllo ha esito negativo se la distribuzione non è associata a un ACL web.
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL AWS WAF web per proteggerla da attacchi dannosi.
Correzione
Per associare un ACL AWS WAF Web a una CloudFront distribuzione, consulta Using AWS WAF to control access to your content nella Amazon CloudFront Developer Guide.
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-custom-ssl-certificate
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni utilizzano i SSL/TLS certificati CloudFront predefiniti forniti. Questo controllo passa se la CloudFront distribuzione utilizza un SSL/TLS certificato personalizzato. Questo controllo ha esito negativo se la CloudFront distribuzione utilizza il SSL/TLS certificato predefinito.
SSL/TLS Consenti agli utenti di accedere ai contenuti in modo personalizzato utilizzando nomi di dominio alternativi. Puoi archiviare certificati personalizzati in AWS Certificate Manager (consigliato) o in IAM.
Correzione
Per aggiungere un nome di dominio alternativo per una CloudFront distribuzione utilizzando un SSL/TLS certificato personalizzato, consulta Aggiungere un nome di dominio alternativo nella Amazon CloudFront Developer Guide.
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Configurazione di rete protetta
Gravità: bassa
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-sni-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano un SSL/TLS certificato personalizzato e sono configurate per utilizzare SNI per soddisfare le richieste HTTPS. Questo controllo ha esito negativo se è associato un SSL/TLS certificato personalizzato ma il metodo di SSL/TLS supporto è un indirizzo IP dedicato.
Server Name Indication (SNI) è un'estensione del protocollo TLS supportato da browser e client rilasciati dopo il 2010. Se configuri CloudFront per servire le richieste HTTPS utilizzando SNI, CloudFront associa il nome di dominio alternativo a un indirizzo IP per ogni edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, il DNS instrada la richiesta all'indirizzo IP per la edge location corretta. L'indirizzo IP del nome di dominio viene determinato durante la negoziazione dell' SSL/TLS handshake; l'indirizzo IP non è dedicato alla distribuzione.
Correzione
Per configurare una CloudFront distribuzione in modo che utilizzi SNI per soddisfare le richieste HTTPS, consulta Using SNI to Serve HTTPS Requests (funziona per la maggior parte dei client) nella Developer Guide. CloudFront Per informazioni sui certificati SSL personalizzati, consulta Requisiti per l'utilizzo SSL/TLS dei certificati con. CloudFront
[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-traffic-to-origin-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon stanno crittografando il traffico verso origini personalizzate. Questo controllo non riesce per una CloudFront distribuzione la cui politica del protocollo di origine consente «solo http». Questo controllo fallisce anche se la politica del protocollo di origine della distribuzione è «match-viewer» mentre la politica del protocollo del visualizzatore è «allow-all».
HTTPS (TLS) può essere utilizzato per impedire l'intercettazione o la manipolazione del traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS).
Correzione
Per aggiornare la Origin Protocol Policy per richiedere la crittografia per una CloudFront connessione, consulta la sezione Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata nella Amazon CloudFront Developer Guide.
[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-no-deprecated-ssl-protocols
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano protocolli SSL obsoleti per la comunicazione HTTPS tra le CloudFront edge location e le tue origini personalizzate. Questo controllo fallisce se una CloudFront distribuzione include un where include. CustomOriginConfig OriginSslProtocols SSLv3
Nel 2015, l'Internet Engineering Task Force (IETF) ha annunciato ufficialmente che SSL 3.0 dovrebbe essere obsoleto a causa della scarsa sicurezza del protocollo. Si consiglia di utilizzare TLSv1 .2 o versioni successive per la comunicazione HTTPS con le origini personalizzate.
Correzione
Per aggiornare i protocolli SSL di origine per una CloudFront distribuzione, consulta Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata nella Amazon CloudFront Developer Guide.
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
Requisiti correlati: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), PCI DSS v4.0.1/2.2.6
Categoria: Identificazione > Configurazione delle risorse
Gravità: alta
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-s3-origin-non-existent-bucket
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon puntano a origini Amazon S3 inesistenti. Il controllo fallisce per una CloudFront distribuzione se l'origine è configurata in modo da puntare a un bucket inesistente. Questo controllo si applica solo alle CloudFront distribuzioni in cui un bucket S3 senza hosting di siti Web statici è l'origine di S3.
Quando una CloudFront distribuzione nel tuo account è configurata in modo che punti a un bucket inesistente, una terza parte malintenzionata può creare il bucket di riferimento e pubblicare i propri contenuti tramite la tua distribuzione. Ti consigliamo di controllare tutte le origini indipendentemente dal comportamento di routing per assicurarti che le distribuzioni puntino alle origini appropriate.
Correzione
Per modificare una CloudFront distribuzione in modo che punti a una nuova origine, consulta la sezione Aggiornamento di una distribuzione nell'Amazon CloudFront Developer Guide.
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
Categoria: Proteggi > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-s3-origin-access-control-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon con un'origine Amazon S3 ha configurato il controllo dell'accesso all'origine (OAC). Il controllo fallisce se OAC non è configurato per la distribuzione. CloudFront
Quando usi un bucket S3 come origine per la tua CloudFront distribuzione, puoi abilitare OAC. Ciò consente l'accesso al contenuto del bucket solo tramite la CloudFront distribuzione specificata e proibisce l'accesso diretto dal bucket o da un'altra distribuzione. Sebbene CloudFront supporti Origin Access Identity (OAI), OAC offre funzionalità aggiuntive e le distribuzioni che utilizzano OAI possono migrare verso OAC. Sebbene OAI fornisca un modo sicuro per accedere alle origini di S3, presenta delle limitazioni, come la mancanza di supporto per le configurazioni granulari delle policy e per le HTTP/HTTPS richieste che utilizzano il metodo POST e che richiedono la versione 4 della firma (SigV4). Regioni AWS AWS OAI inoltre non supporta la crittografia con. AWS Key Management Service OAC si basa su una AWS best practice di utilizzo dei principali di servizio IAM per l'autenticazione con le origini S3.
Correzione
Per configurare OAC per una CloudFront distribuzione con origini S3, consulta Restricting access to an Amazon S3 origin nella Amazon Developer Guide. CloudFront
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::CloudFront::Distribution
AWS Config regola: tagged-cloudfront-distribution (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList (massimo 6 elementi) | 1—6 tasti tag che soddisfano i requisiti AWS . | Nessun valore predefinito |
Questo controllo verifica se una CloudFront distribuzione Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la distribuzione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la distribuzione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a una CloudFront distribuzione, consulta Tagging Amazon CloudFront distribution nella Amazon CloudFront Developer Guide.
[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata
Categoria: Proteggi > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::CloudFront::Distribution
Regola AWS Config : cloudfront-ssl-policy-check
Tipo di pianificazione: modifica attivata
Parametri:securityPolicies: TLSv1.2_2021 (non personalizzabile)
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare la politica di sicurezza TLS consigliata. Il controllo fallisce se la CloudFront distribuzione non è configurata per utilizzare la politica di sicurezza TLS consigliata.
Se configuri una CloudFront distribuzione Amazon per richiedere agli utenti di utilizzare HTTPS per accedere ai contenuti, devi scegliere una politica di sicurezza e specificare la versione minima del SSL/TLS protocollo da utilizzare. Ciò determina la versione del protocollo CloudFront utilizzata per comunicare con gli spettatori e i codici CloudFront utilizzati per crittografare le comunicazioni. Si consiglia di utilizzare la politica di sicurezza più recente fornita. CloudFront Ciò garantisce l' CloudFront utilizzo delle suite di crittografia più recenti per crittografare i dati in transito tra un visualizzatore e una distribuzione. CloudFront
Nota
Questo controllo genera risultati solo per CloudFront le distribuzioni configurate per utilizzare certificati SSL personalizzati e non sono configurate per supportare client legacy.
Correzione
Per informazioni sulla configurazione della politica di sicurezza per una CloudFront distribuzione, consulta Aggiornare una distribuzione nella Amazon CloudFront Developer Guide. Quando configuri la politica di sicurezza per una distribuzione, scegli la politica di sicurezza più recente.
