As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Amazon Elastic File System
Esses controles estão relacionados aos recursos do Amazon EFS resources.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Severidade: média
Tipo de recurso
Regra do AWS Config : efs-encrypted-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando AWS KMS. A verificação falhará nos seguintes casos.
-
Encryptedestá definido comofalsena resposta doDescribeFileSystems. -
A chave
KmsKeyIdna resposta doDescribeFileSystemsnão corresponde ao parâmetroKmsKeyIdparaefs-encrypted-check.
Observe que esse controle não usa o parâmetro KmsKeyId para efs-encrypted-check. Ele só verifica o valor de Encrypted.
Para obter uma camada de segurança adicional para os dados confidenciais no , crie sistemas de arquivos criptografados. O oferece suporte para sistemas de arquivos em repouso. O Amazon EFS é compatível com sistemas de arquivos criptografados. É possível ativar a criptografia em repouso ao criar um sistema de arquivos do . Para obter mais informações, consulte Criptografia de dados no Amazon EFS no Manual do usuário do Amazon Elastic File System.
Correção
Para obter detalhes sobre como criptografar um novo sistema de arquivos do Amazon EFS , consulte Criptografar dados em repouso no Guia do usuário do Amazon Elastic File System.
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso
Regra do AWS Config : efs-in-backup-plan
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) foram adicionados aos planos de backup em AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup.
Incluir sistemas de arquivos EFS nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.
Correção
Para habilitar backups automáticos para um sistema de arquivos Amazon EFS existente, consulte Conceitos básicos 4: Criar backups automáticos do Amazon EFS no Guia do desenvolvedor do AWS Backup .
Os pontos de acesso do EFS devem impor um diretório raiz
Requisitos relacionados: NIST.800-53.r5 CA-7
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso
Regra do AWS Config : efs-access-point-enforce-root-directory
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para impor um diretório raiz. O controle falhará se o valor de Path for definido como / (o diretório raiz padrão do sistema de arquivos).
Ao impor um diretório raiz, o cliente NFS usando o ponto de acesso utiliza o diretório raiz configurado no ponto de acesso em vez do diretório raiz do sistema de arquivos. A imposição de um diretório raiz para um ponto de acesso ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.
Correção
Para obter instruções sobre como aplicar um diretório raiz para um ponto de acesso do Amazon EFS, consulte Aplicação de um diretório raiz com um ponto de acesso no Guia do usuário do Amazon Elastic File System.
Os pontos de acesso do EFS devem impor uma identidade de usuário
Requisitos relacionados: NIST.800-53.r5 CA-7
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso
Regra do AWS Config : efs-access-point-enforce-user-identity
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para impor um diretório raiz. Esse controle falhará se uma identidade de usuário POSIX não for definida durante a criação do ponto de acesso EFS.
Os pontos de acesso do Amazon EFS são pontos de entrada específicos da aplicação para um sistema de arquivos do EFS que facilitam o gerenciamento do acesso de aplicações a conjuntos de dados compartilhados. Os pontos de acesso podem impor uma identidade de usuário, inclusive grupos POSIX do usuário, para todas as solicitações do sistema de arquivamento feitas por meio do ponto de acesso. Os pontos de acesso também podem impor um diretório raiz diferente para o sistema de arquivamento fazendo com que clientes só possam acessar dados no diretório especificado ou em seus subdiretórios.
Correção
Para impor uma identidade de usuário para um ponto de acesso do Amazon EFS, consulte Impor uma identidade de usuário usando um ponto de acesso no Guia do usuário do Amazon Elastic File System.
