Controles do Security Hub para o Amazon FSx - AWS Security Hub
[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.[FSx.2] Os sistemas de arquivos FSx para Lustre devem ser configurados para copiar tags em backups[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ[FSx.4] Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ[FSx.5] Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ

Controles do Security Hub para o Amazon FSx

Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon FSx. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::FSx::FileSystem

AWS Config Regra: fsx-openzfs-copy-tags-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um sistema de arquivos do Amazon FSx para OpenZFS está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos OpenZFS não estiver configurado para copiar tags para backups e volumes.

A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam a categorizar os recursos da AWS de diferentes maneiras, como por finalidade, por proprietário ou por ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.

Correção

Para obter informações sobre a configuração de um sistema de arquivos FSx para OpenZFS para copiar tags para backups e volumes, consulte Atualização de um sistema de arquivos no Guia do usuário do Amazon FSx para OpenZFS.

[FSx.2] Os sistemas de arquivos FSx para Lustre devem ser configurados para copiar tags em backups

Requisitos relacionados: NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::FSx::FileSystem

AWS Config Regra: fsx-lustre-copy-tags-to-backups

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um sistema de arquivos Amazon FSx para Lustre está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos Lustre não estiver configurado para copiar tags para backups e volumes.

A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam a categorizar os recursos da AWS de diferentes maneiras, como por finalidade, por proprietário ou por ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.

Correção

Para saber mais sobre a configuração de um sistema de arquivos FSx para Lustre para copiar tags para backups, consulte Cópia de backups dentro da mesma Conta da AWS no Guia do usuário do Amazon FSx para Lustre.

[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: média

Tipo de recurso: AWS::FSx::FileSystem

AWS Config Regra: fsx-openzfs-deployment-type-check

Tipo de programação: Periódico

Parâmetros: deploymentTypes: MULTI_AZ_1 (não personalizável)

Esse controle verifica se um sistema de arquivos Amazon FSx para OpenZFS está configurado para usar o tipo de implantação de várias zonas de disponibilidade (multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.

O Amazon FSx para OpenZFS oferece suporte a vários tipos de implantação para sistemas de arquivos: multi-AZ (HA), Single-AZ (HA) e Single-AZ (não HA). Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos multi-AZ (HA) são compostos por um par de servidores de arquivos de alta disponibilidade (HA) que estão espalhados por duas zonas de disponibilidade (AZ). Recomendamos o uso do tipo de implantação multi-AZ (HA) para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.

Correção

É possível configurar um sistema de arquivos Amazon FSx para OpenZFS para usar o tipo de implantação multi-AZ ao criar o sistema de arquivos. Não é possível alterar o tipo de implantação de um sistema de arquivos FSx para OpenZFS.

Para obter informações sobre os tipos e opções de implantação para sistemas de arquivos FSx para OpenZFS, consulte Disponibilidade e durabilidade do Amazon FSx para OpenZFS e Gerenciamento de recursos do sistema de arquivos no Guia do usuário do Amazon FSx para OpenZFS.

[FSx.4] Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: média

Tipo de recurso: AWS::FSx::FileSystem

AWS Config Regra: fsx-ontap-deployment-type-check

Tipo de programação: Periódico

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

deploymentTypes

Uma lista de tipos de implantação a serem incluídos na avaliação. O controle gerará uma descoberta FAILED se um sistema de arquivos não estiver configurado para usar um tipo de implantação especificado na lista.

Enum

MULTI_AZ_1, MULTI_AZ_2

MULTI_AZ_1, MULTI_AZ_2

Esse controle verifica se um sistema de arquivos Amazon FSx para NetApp ONTAP está configurado para usar um tipo de implantação de várias zonas de disponibilidade (multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar um tipo de implantação multi-AZ. É possível, opcionalmente, especificar uma lista de tipos de implantação a serem incluídos na avaliação.

O Amazon FSx para NetApp ONTAP oferece suporte a vários tipos de implantação para sistemas de arquivos: Single-AZ 1, Single-AZ 2, Multi-AZ 1 e Multi-AZ 2. Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Recomendamos o uso de um tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que os tipos de implantação multi-AZ oferecem. Os sistemas de arquivos multi-AZ oferecem suporte a todos os recursos de disponibilidade e durabilidade dos sistemas de arquivos single-AZ. Além disso, eles são projetados para fornecer disponibilidade contínua aos dados, mesmo quando uma zona de disponibilidade (AZ) não estiver disponível.

Correção

Não é possível alterar o tipo de implantação de um sistema de arquivos Amazon FSx para NetAPP ONTAP existente. No entanto, é possível fazer backup dos dados e restaurá-los em um novo sistema de arquivos que use um tipo de implantação multi-AZ.

Para obter informações sobre os tipos e opções de implantação para sistemas de arquivos FSx para ONTAP, consulte Opções de disponibilidade, durabilidade e implantaçãao e Gerenciamento de sistemas de arquivos no Guia do usuário do FSx para ONTAP.

[FSx.5] Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: média

Tipo de recurso: AWS::FSx::FileSystem

AWS Config Regra: fsx-windows-deployment-type-check

Tipo de programação: Periódico

Parâmetros: deploymentTypes: MULTI_AZ_1 (não personalizável)

Esse controle verifica se um sistema de arquivos Amazon FSx para Windows File Server está configurado para usar o tipo de implantação de várias zonas de disponibilidade (multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.

O Amazon FSx para Windows File Server oferece suporte a dois tipos de implantação de sistema de arquivos: single-AZ e multi-AZ. Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos single-AZ são compostos por uma única instância do servidor de arquivos do Windows e um conjunto de volumes de armazenamento em uma única zona de disponibilidade (AZ). Os sistemas de arquivos multi-AZ são compostos por cluster de alta disponibilidade de servidores de arquivos do Windows espalhados por duas zonas de disponibilidade (AZ). Recomendamos o uso do tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.

Correção

É possível configurar um sistema de arquivos Amazon FSx para Windows File Server para usar o tipo de implantação multi-AZ ao criar o sistema de arquivos. Não é possível alterar o tipo de implantação de um sistema de arquivos FSx para Windows File Server.

Para saber mais sobre os tipos e opções de implantação de sistemas de arquivos FSx para Windows File Server, consulte Disponibilidade e durabilidade: sistemas de arquivos single-AZ e multi-AZ e Introdução ao Amazon FSx para Windows File Server no Guia do usuário do Amazon FSx para Windows File Server.