Controles do Security Hub para o Amazon CloudFront
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon CloudFront. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado
Requisitos relacionados: NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), PCI DSS v4.0.1/2.2.6
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-default-root-object-configured
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma distribuição do Amazon CloudFront com origens no S3 está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a distribuição do CloudFront usar origens do S3 e não tiver um objeto raiz padrão configurado. Esse controle não se aplica às distribuições do CloudFront que usem origens personalizadas.
Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo da sua distribuição da web.
Correção
Para configurar um objeto raiz padrão para uma distribuição do CloudFront, consulte Como especificar um objeto raiz padrão no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-viewer-policy-https
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma distribuição do Amazon CloudFront exige que os espectadores usem HTTPS diretamente ou se usa redirecionamento. O controle falhará se ViewerProtocolPolicy estiver definido como allow-all para defaultCacheBehavior ou paracacheBehaviors.
O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
Correção
Para criptografar uma distribuição do CloudFront em trânsito, consulte Exigir HTTPS para comunicação entre visualizadores e CloudFront no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-origin-failover-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma distribuição do Amazon CloudFront está configurada com um grupo de origem que tem duas ou mais origens.
O failover de origem do CloudFront pode aumentar a disponibilidade. Se a origem primária estiver indisponível ou retornar códigos de status de resposta HTTP específicos que indiquem falha, o failover automaticamente alternará para a origem secundária.
Correção
Para configurar o failover de origem para uma distribuição do CloudFront, consulte Criar um grupo de origens no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-accesslogs-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro em log de acesso ao servidor está habilitado nas distribuições do CloudFront. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Esse controle avalia apenas se o registro em log padrão (legado) está habilitado para uma distribuição.
Os logs de acesso ao CloudFront contêm informações detalhadas sobre cada solicitação do usuário recebida pelo CloudFront. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Para obter mais informações sobre a análise de logs de acesso, consulte Consulta a logs do Amazon CloudFront no Guia do usuário do Amazon Athena.
Correção
Para configurar o registro em log padrão (legado) de uma distribuição do CloudFront, consulte Configuração do registro em log padrão (legado) no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada
Requisitos relacionados: NIST.800-53.r5 AC-4(21), PCI DSS v4.0.1/6.4.2
Categoria: Proteger > Serviços de proteção
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-associated-with-waf
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as distribuições do CloudFront estão associadas a ACL da web do AWS WAF Classic ou AWS WAF. O controle falhará se a distribuição não estiver associada a uma ACL da web.
O AWS WAF é um firewall de aplicações que ajuda a proteger aplicações e APIs Web contra ataques. Permite configurar um conjunto de regras, chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições que você define. Certifique-se de que sua distribuição do CloudFront esteja associada a uma AWS WAF web ACL para ajudar a protegê-lo contra ataques maliciosos.
Correção
Para associar uma ACL da web do AWS WAF a uma distribuição do CloudFront, consulte Como usar o AWS WAF para controlar o acesso a seu conteúdo no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3,13.15
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-custom-ssl-certificate
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as distribuições do CloudFront estão usando o certificado SSL/TLS padrão fornecido pelo CloudFront. Esse controle será aprovado se a distribuição do CloudFront usar um certificado SSL/TLS personalizado. Esse controle falha se a distribuição do CloudFront usar um certificado SSL/TLS padrão.
O SSL/TLS personalizado permite que seus usuários acessem o conteúdo usando nomes de domínio alternativos. É possível armazenar certificados personalizados no AWS Certificate Manager (recomendado) ou no IAM.
Correção
Para adicionar um nome de domínio alternativo para uma distribuição do CloudFront usando um certificado SSL/TLS personalizado, consulte Adicionar um nome de domínio alternativo no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Gravidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-sni-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as distribuições do Amazon CloudFront estão usando um certificado SSL/TLS personalizado e estão configuradas para usar SNI para atender solicitações HTTPS. Esse controle falhará se um certificado SSL/TLS personalizado estiver associado, mas o método de suporte SSL/TLS for um endereço IP dedicado.
A Indicação de Nome de Servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar o CloudFront para atender a solicitações HTTPS usando SNI, ele associará seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP para o seu nome de domínio é determinado durante a negociação do handshake SSL/TLS. O endereço IP não é dedicado à sua distribuição.
Correção
Para configurar uma distribuição do CloudFront para usar o SNI para atender solicitações HTTPS, consulte Como usar a SNI para atender a solicitações HTTPS (funciona para a maioria dos clientes) no Guia do desenvolvedor do CloudFront. Para obter informações sobre certificados SSL personalizados, consulte Requisitos para usar certificados SSL/TLS com o CloudFront.
[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-traffic-to-origin-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as distribuições do Amazon CloudFront estão criptografando o tráfego para origens personalizadas. Esse controle falha em uma distribuição do CloudFront cuja política de protocolo de origem permite “somente http”. Esse controle também falhará se a política do protocolo de origem da distribuição for “match-viewer”, enquanto a política do protocolo do visualizador for “allow-all”.
O HTTPS (TLS) pode ser usado para ajudar a evitar a espionagem ou a manipulação do tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas.
Correção
Para atualizar a Política de Protocolo de Origem para exigir criptografia para uma conexão do CloudFront, consulte Exigir HTTPS na comunicação entre o CloudFront e a origem personalizada no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), NIST.800-171.r2 3,13.15, PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-no-deprecated-ssl-protocols
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as distribuições do Amazon CloudFront estão usando protocolos SSL obsoletos para comunicação HTTPS entre os pontos de presença do CloudFront e suas origens personalizadas. Esse controle falhará se uma distribuição do CloudFront tiver um CustomOriginConfig onde OriginSslProtocols inclui SSLv3.
Em 2015, a Internet Engineering Task Force (IETF) anunciou oficialmente que o SSL 3.0 deveria ser descontinuado devido ao protocolo não ser suficientemente seguro. É recomendável usar o TLSv1.2 ou posterior para comunicação HTTPS com suas origens personalizadas.
Correção
Para atualizar os protocolos SSL de origem em uma distribuição do CloudFront, consulte Exigir HTTPS para comunicação entre CloudFront e sua origem personalizada no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3
Requisitos relacionados: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6
Categoria: Identificar > Configuração de recursos
Gravidade: alta
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-s3-origin-non-existent-bucket
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se as distribuições do Amazon CloudFront estão apontando para origens inexistentes do Amazon S3. O controle falhará em uma distribuição do CloudFront se a origem estiver configurada para apontar para um bucket inexistente. Esse controle se aplica somente às distribuições do CloudFront em que um bucket do S3 sem hospedagem estática do site é a origem do S3.
Quando uma distribuição do CloudFront em sua conta é configurada para apontar para um bucket inexistente, um terceiro mal-intencionado pode criar o bucket referenciado e fornecer seu próprio conteúdo por meio de sua distribuição. Recomendamos verificar todas as origens, independentemente do comportamento de roteamento, para garantir que suas distribuições estejam apontando para as origens apropriadas.
Correção
Para modificar uma distribuição do CloudFront para apontar para uma nova origem, consulte Atualizar uma distribuição no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-s3-origin-access-control-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma distribuição do Amazon CloudFront com uma origem do Amazon S3 tem o controle do acesso de origem (OAC) configurado. O controle falhará se o OAC não estiver configurado para a distribuição do CloudFront.
Ao usar um bucket do S3 como origem para sua distribuição do CloudFront, você pode habilitar o OAC. Isso permite o acesso ao conteúdo no bucket somente por meio da distribuição especificada do CloudFront e proíbe o acesso diretamente do bucket ou de outra distribuição. Embora o CloudFront ofereça suporte à Identidade do acesso de origem (OAI), o OAC oferece funcionalidades adicionais e as distribuições que usam o OAI podem migrar para o OAC. Embora o OAI forneça uma maneira segura de acessar as origens do S3, ele tem limitações, como a falta de suporte para configurações de políticas granulares e para solicitações HTTP/HTTPS que usam o método POST na AWS que exigem Regiões da AWS Signature Version 4 (SigV4). O OAI também não oferece suporte a criptografia com AWS Key Management Service. O OAC é baseado em uma prática recomendada da AWS de uso de entidades principais de serviço do IAM para autenticar com origens do S3.
Correção
Para configurar o OAC para uma distribuição do CloudFront com origens do S3, consulte Restringir acesso a uma origem do Amazon S3 no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.14] As distribuições do CloudFront devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::CloudFront::Distribution
Regra do AWS Config: tagged-cloudfront-distribution (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma distribuição do Amazon CloudFront tem tags com chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a distribuição não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a distribuição não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a uma distribuição do CloudFront, consulte Marcar distribuições do Amazon CloudFront no Guia do desenvolvedor do Amazon CloudFront.
[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-ssl-policy-check
Tipo de programação: acionado por alterações
Parâmetros: securityPolicies: TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025 (não personalizável)
Esse controle verifica se uma distribuição do Amazon CloudFront está configurada para usar uma política de segurança de TLS recomendada. O controle falhará se a distribuição do CloudFront não estiver configurada para usar uma política de segurança de TLS recomendada.
Se você configurar uma distribuição do Amazon CloudFront para exigir que os visualziadores usem HTTPS para acessar o conteúdo, você precisará escolher uma política de segurança e especificar a versão mínima do protocolo SSL/TLS a ser usada. Isso determina qual versão do protocolo o CloudFront usa para se comunicar com os espectadores e as cifras que o CloudFront usa para criptografar as comunicações. Recomendamos o uso da política de segurança mais recente do CloudFront. Isso garante que o CloudFront use os pacotes de criptografia mais recentes para criptografar dados em trânsito entre um visualizador e uma distribuição do CloudFront.
nota
Esse controle gera descobertas somente para distribuições do CloudFront que estejam configuradas para usar certificados SSL personalizados e não estejam configuradas para oferecer suporte a clientes legados.
Correção
Para obter informações sobre a configuração da política de segurança de uma distribuição no CloudFront, consulte Atualização de uma distribuição no Guia do desenvolvedor do Amazon CloudFront. Ao configurar a política de segurança de uma distribuição, escolha a política de segurança mais recente.
[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda
Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso
Gravidade: média
Tipo de recurso: AWS::CloudFront::Distribution
AWS Config Regra: cloudfront-origin-lambda-url-oac-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma distribuição do Amazon CloudFront com um URL da função do AWS Lambda como origem possui o controle do acesso de origem (OAC) habilitado. O controle falhará se a distribuição do CloudFront tiver um URL da função do Lambda como origem e o OAC não estiver habilitado.
Um URL da função do AWS Lambda é um endpoint de HTTPS dedicado para uma função do Lambda. Ao usar um URL da função do Lambda como origem para uma distribuição do CloudFront, o URL da função deve estar acessível publicamente. Portanto, como prática recomendada de segurança, é necessário criar um OAC e adicioná-lo ao URL da função do Lambda em uma distribuição. O OAC usa entidades principais de serviço do IAM para autenticar solicitações entre o CloudFront e o URL da função. Ele também oferece suporte ao uso de políticas baseadas em recursos para permitir a invocação de uma função somente se uma solicitação for em nome de uma distribuição do CloudFront especificada na política.
Correção
Para obter informações sobre como configurar o OAC para uma distribuição do Amazon CloudFront que use uma URL da função do Lambda como origem, consulte Restrição de acesso a uma origem de URL da função do AWS Lambda no Guia do desenvolvedor do Amazon CloudFront.
