Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Elastic Load Balancing
Questi controlli sono correlati alle risorse Elastic Load Balancing.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS
Requisiti correlati: PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), .800-53.r5 SC-13, NIST .800-53.r5 SC-23, .800-53.r5 SC-23 (3), .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-23 -53,5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), NIST .800-53r5 SC-7 (6) NIST NIST NIST NIST NIST
Categoria: Rilevamento > Servizi di rilevamento
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : alb-http-to-https-redirection-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se il HTTP HTTPS reindirizzamento è configurato su tutti i HTTP listener di Application Load Balancers. Il controllo ha esito negativo se non è necessario configurare il reindirizzamento per nessuno dei HTTP listener di Application Load Balancers. HTTP HTTPS
Prima di iniziare a utilizzare Application Load Balancer, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener supportano entrambi i protocolli and. HTTP HTTPS È possibile utilizzare un HTTPS listener per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico. Per applicare la crittografia in transito, è necessario utilizzare le azioni di reindirizzamento con Application Load Balancers per reindirizzare le richieste dei client a una richiesta sulla porta 443. HTTP HTTPS
Per ulteriori informazioni, consulta Listeners for your Application Load Balancers nella User Guide for Application Load Balancers.
Correzione
Per reindirizzare HTTP le richieste aHTTPS, è necessario aggiungere una regola listener Application Load Balancer o modificare una regola esistente.
Per istruzioni sull'aggiunta di una nuova regola, consulta Aggiungere una regola nella Guida per l'utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 In Aggiungi azione, Reindirizza a HTTPS, scegli e quindi inserisci443.
Per istruzioni sulla modifica di una regola esistente, consulta Modificare una regola nella Guida utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 In Aggiungi azione, Reindirizza a HTTPS, scegli e quindi inserisci443.
[ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager
Requisiti correlati: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, NIST .800-53.r5 IA-5 (1), .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, .800-53.r5 SC-23 (5), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5. -53,5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : elb-acm-certificate-required
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il Classic Load Balancer utilizza i SSL certificatiHTTPS/forniti da AWS Certificate Manager ()ACM. Il controllo fallisce se il Classic Load Balancer configurato conHTTPS/SSLlistener non utilizza un certificato fornito da. ACM
Per creare un certificato, puoi utilizzare uno dei due ACM o uno strumento che supporti i TLS protocolli SSL and, come Open. SSL Security Hub consiglia di ACM utilizzarlo per creare o importare certificati per il sistema di bilanciamento del carico.
ACMsi integra con Classic Load Balancers in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. È inoltre necessario rinnovare automaticamente questi certificati.
Correzione
Per informazioni su come associare un TLS certificato ACMSSL/a un Classic Load Balancer, consulta l'articolo del AWS Knowledge Center Come posso associare un TLS certificato ACMSSL/a un Classic, Application o Network
[ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS
Requisiti correlati: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (4), .800-53.r5. -53,5 SC-8, NIST .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : elb-tls-https-listeners-only
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i listener Classic Load Balancer sono configurati con HTTPS o con un TLS protocollo per le connessioni front-end (da client a load balancer). Il controllo è applicabile se un Classic Load Balancer dispone di ascoltatori. Se il Classic Load Balancer non dispone di un listener configurato, il controllo non riporta alcun risultato.
Il controllo passa se i listener Classic Load Balancer sono configurati con TLS o HTTPS per connessioni front-end.
Il controllo fallisce se il listener non è configurato con TLS o per connessioni front-end. HTTPS
Prima di iniziare a utilizzare un sistema di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. Gli ascoltatori possono supportare entrambi i protocolli HTTP eHTTPS/. TLS È necessario utilizzare sempre un TLS listener HTTPS or, in modo che il load balancer esegua il lavoro di crittografia e decrittografia in transito.
Correzione
Per risolvere questo problema, aggiorna i tuoi ascoltatori all'utilizzo del protocollo or. TLS HTTPS
Per cambiare tutti gli ascoltatori non conformi in/listeners TLS HTTPS
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione, in Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.
Seleziona il Classic Load Balancer.
-
Nella scheda Listeners (Listener), seleziona Edit (Modifica).
-
Per tutti i listener in cui Load Balancer Protocol non è impostato su HTTPS SSL o, modificate l'impostazione HTTPS su o. SSL
-
Per tutti i listener modificati, nella scheda Certificati, scegliete Cambia default.
-
Per ACMi IAM certificati, selezionate un certificato.
-
Scegliere Salva come predefinito.
-
Dopo aver aggiornato tutti i listener, scegli Salva.
[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http
Requisiti correlati: NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-8 (2) NIST
Categoria: Protezione > Sicurezza di rete
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : alb-http-drop-invalid-header-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo valuta gli AWS Application Load Balancer per garantire che siano configurati per eliminare le intestazioni non valide. HTTP Il controllo ha esito negativo se il valore di è impostato su. routing.http.drop_invalid_header_fields.enabled false
Per impostazione predefinita, gli Application Load Balancer non sono configurati per eliminare valori di intestazione non validiHTTP. La rimozione di questi valori di intestazione previene gli attacchi di desincronizzazione. HTTP
Nota che puoi disabilitare questo controllo se ELB.12 è abilitato.
Correzione
Per risolvere questo problema, configura il sistema di bilanciamento del carico in modo da eliminare i campi di intestazione non validi.
Per configurare il load balancer in modo da eliminare i campi di intestazione non validi
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel riquadro di navigazione selezionare Load Balancers (Sistemi di bilanciamento del carico).
-
Scegliete un Application Load Balancer.
-
Da Azioni, scegli Modifica attributi.
-
In Elimina campi di intestazione non validi, scegli Abilita.
-
Selezionare Salva.
[ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata
Requisiti correlati: NIST .800-53.r5 AC-4 (26), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, NIST .800-53.r5 AU-6 (3), .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, NIST .800-53.r5 (9), .800-53.5r SI-7 (8) NIST NIST NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa:AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : elb-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'Application Load Balancer e il Classic Load Balancer hanno la registrazione abilitata. Se lo è, il controllo fallisce. access_logs.s3.enabled false
Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare.
Per ulteriori informazioni, consulta i registri di accesso per il tuo Classic Load Balancer nella Guida per l'utente dei Classic Load Balancer.
Correzione
Per abilitare i log di accesso, consulta la Fase 3: Configurazione dei log di accesso nella Guida utente per Application Load Balancers.
[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata
Requisiti correlati: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-3, .800-53.r5 SC-5 (2) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : elb-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un'applicazione, un gateway o un Network Load Balancer ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se la protezione da eliminazione è disattivata.
Abilita la protezione dall'eliminazione per proteggere l'applicazione, il gateway o il Network Load Balancer dall'eliminazione.
Correzione
Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, è possibile abilitare la protezione da eliminazione. Per impostazione predefinita, la protezione da eliminazioni è disabilitata nel sistema di bilanciamento del carico.
Se si abilita la protezione da eliminazione per il sistema di bilanciamento del carico, è necessario disabilitare la protezione da eliminazione prima di poter eliminare il sistema di bilanciamento del carico.
Per abilitare la protezione da eliminazione per un Application Load Balancer, vedere Protezione da eliminazione nella User Guide for Application Load Balancer. Per abilitare la protezione da eliminazione per un Gateway Load Balancer, vedere Protezione da eliminazione nella Guida utente di Gateway Load Balancer. Per abilitare la protezione da eliminazione per un Network Load Balancer, vedere Protezione da eliminazione nella Guida dell'utente per Network Load Balancer.
[ELB.7] I Classic Load Balancer devono avere abilitato il drenaggio della connessione
Requisiti correlati: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoria: Recupero > Resilienza
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
AWS Config regola: elb-connection-draining-enabled (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i Classic Load Balancer hanno abilitato il drenaggio della connessione.
L'abilitazione del drenaggio della connessione sui Classic Load Balancer garantisce che il sistema di bilanciamento del carico interrompa l'invio di richieste alle istanze che non registrano alcuna registrazione o che non sono funzionanti. Mantiene aperte le connessioni esistenti. Ciò è particolarmente utile per le istanze nei gruppi di Auto Scaling, per garantire che le connessioni non vengano interrotte bruscamente.
Correzione
Per abilitare il drenaggio della connessione sui Classic Load Balancer, consulta Configurare il drenaggio della connessione per Classic Load Balancer nella Guida dell'utente per Classic Load Balancer.
[ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config
Requisiti correlati: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, NIST .800-53.r5 IA-5 (1), .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 SC-23 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (4), NIST .800-53.r5. -53,5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6) NIST NIST NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : elb-predefined-security-policy-ssl-check
Tipo di pianificazione: modifica attivata
Parametri:
-
predefinedPolicyName:ELBSecurityPolicy-TLS-1-2-2017-01(non personalizzabile)
Questo controllo verifica se i tuoi Classic Load BalancerHTTPS/SSLlistener utilizzano la politica predefinita. ELBSecurityPolicy-TLS-1-2-2017-01 Il controllo fallisce se i SSL listener Classic Load BalancerHTTPS/non lo utilizzano. ELBSecurityPolicy-TLS-1-2-2017-01
Una politica di sicurezza è una combinazione di SSL protocolli, cifrari e l'opzione Server Order Preference. Le policy predefinite controllano i codici, i protocolli e gli ordini di preferenza da supportare durante le SSL negoziazioni tra un client e un sistema di bilanciamento del carico.
L'utilizzo ELBSecurityPolicy-TLS-1-2-2017-01 può aiutarti a soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di versioni specifiche di e. SSL TLS Per ulteriori informazioni, consulta Policy di SSL sicurezza predefinite per Classic Load Balancers nella Guida per l'utente di Classic Load Balancers.
Correzione
Per informazioni su come utilizzare la politica di sicurezza predefinita ELBSecurityPolicy-TLS-1-2-2017-01 con un Classic Load Balancer, consulta Configure security settings in User Guide for Classic Load Balancer.
[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : elb-cross-zone-load-balancing-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il bilanciamento del carico tra zone è abilitato per Classic Load Balancers (). CLBs Il controllo fallisce se il bilanciamento del carico tra zone non è abilitato per a. CLB
Un nodo di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella relativa zona di disponibilità. Se il bilanciamento del carico tra zone è disabilitato, ogni nodo del sistema di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il numero di destinazioni registrate non è lo stesso nelle zone di disponibilità, il traffico non verrà distribuito in modo uniforme e le istanze in una zona potrebbero finire per essere utilizzate in modo eccessivo rispetto alle istanze in un'altra zona. Con il bilanciamento del carico tra zone abilitato, ogni nodo di load balancer per Classic Load Balancer distribuisce le richieste in modo uniforme tra le istanze registrate in tutte le zone di disponibilità abilitate. Per i dettagli, consulta il bilanciamento del carico tra zone nella Elastic Load Balancing User Guide.
Correzione
Per abilitare il bilanciamento del carico tra zone in un Classic Load Balancer, consulta Abilita il bilanciamento del carico tra zone nella Guida utente per Classic Load Balancer.
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), NIST .800-53.r5 SC-36, .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : clb-multiple-az
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero minimo di zone di disponibilità |
Enum |
|
|
Questo controllo verifica se un Classic Load Balancer è stato configurato per coprire almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se il Classic Load Balancer non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo diAZs, Security Hub utilizza un valore predefinito pari a dueAZs.
È possibile configurare un Classic Load Balancer per distribuire le richieste in entrata tra EC2 le istanze Amazon in una singola zona di disponibilità o più zone di disponibilità. Un Classic Load Balancer che non si estende su più zone di disponibilità non è in grado di reindirizzare il traffico verso destinazioni in un'altra zona di disponibilità se l'unica zona di disponibilità configurata non è disponibile.
Correzione
Per aggiungere zone di disponibilità a un Classic Load Balancer, consulta Aggiungere o rimuovere sottoreti per il Classic Load Balancer nella Guida utente per Classic Load Balancer.
[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
Requisiti correlati: NIST .800-53.r5 AC-4 (21), .800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST NIST
Categoria: Protezione > Protezione dei dati > Integrità dei dati
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : alb-desync-mode-check
Tipo di pianificazione: modifica attivata
Parametri:
desyncMode:defensive, strictest(non personalizzabile)
Questo controllo verifica se un Application Load Balancer è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. Il controllo fallisce se un Application Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.
HTTPI problemi di desincronizzazione possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda o della cache. A loro volta, queste vulnerabilità possono portare al furto di credenziali o all'esecuzione di comandi non autorizzati. Gli Application Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da Desync. HTTP
Correzione
Per aggiornare la modalità di mitigazione della desincronizzazione di un Application Load Balancer, consulta la modalità di mitigazione Desync nella User Guide for Application Load Balancers.
[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : elbv2-multiple-az
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero minimo di zone di disponibilità |
Enum |
|
|
Questo controllo verifica se un Elastic Load Balancer V2 (Application, Network o Gateway Load Balancer) ha istanze registrate da almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un Elastic Load Balancer V2 non ha istanze registrate almeno nel numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo diAZs, Security Hub utilizza un valore predefinito pari a dueAZs.
Elastic Load Balancing distribuisce automaticamente il traffico in entrata su più destinazioni, come EC2 istanze, contenitori e indirizzi IP, in una o più zone di disponibilità. Elastic Load Balancing ridimensiona il load balancer di volta in volta, in quanto il traffico in ingresso varia nel corso del tempo. Si consiglia di configurare almeno due zone di disponibilità per garantire la disponibilità dei servizi, poiché Elastic Load Balancer sarà in grado di indirizzare il traffico verso un'altra zona di disponibilità se una non è disponibile. La configurazione di più zone di disponibilità contribuirà a eliminare la presenza di un unico punto di errore per l'applicazione.
Correzione
Per aggiungere una zona di disponibilità a un Application Load Balancer, consulta Availability Zones for your Application Load Balancer nella User Guide for Application Load Balancer. Per aggiungere una zona di disponibilità a un Network Load Balancer, consulta Network Load Balancer nella User Guide for Network Load Balancer. Per aggiungere una zona di disponibilità a un Gateway Load Balancer, vedere Create a Gateway Load Balancer nella Guida utente per Gateway Load Balancer.
[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
Requisiti correlati: NIST .800-53.r5 AC-4 (21), .800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST NIST
Categoria: Protezione > Protezione dei dati > Integrità dei dati
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer
Regola AWS Config : clb-desync-mode-check
Tipo di pianificazione: modifica attivata
Parametri:
desyncMode:defensive, strictest(non personalizzabile)
Questo controllo verifica se un Classic Load Balancer è configurato con la modalità difensiva o la più rigorosa di mitigazione della desincronizzazione. Il controllo fallisce se il Classic Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.
HTTPI problemi di desincronizzazione possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda o della cache. A loro volta, queste vulnerabilità possono portare al dirottamento delle credenziali o all'esecuzione di comandi non autorizzati. I Classic Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da Desync. HTTP
Correzione
Per aggiornare la modalità di mitigazione della desincronizzazione su un Classic Load Balancer, consulta Modify desync mitigation mode nella User Guide for Classic Load Balancer.
[ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL
Requisiti correlati: NIST .800-53.r5 AC-4 (21)
Categoria: Proteggi > Servizi di protezione
Gravità: media
Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer
Regola AWS Config : alb-waf-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un Application Load Balancer è associato a una lista di controllo degli accessi AWS WAF classica o AWS WAF web (webACL). Il controllo fallisce se il Enabled campo per la AWS WAF configurazione è impostato false su.
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Con AWS WAF, puoi configurare un WebACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Ti consigliamo di associare l'Application Load Balancer a AWS WAF un ACL Web per proteggerlo da attacchi dannosi.
Correzione
Per associare un Application Load Balancer a un WebACL, consulta Associating or dissociating a Web ACL with an AWS resource nella Developer Guide.AWS WAF
