适用于 Amazon FSx 的 Security Hub 控件
这些 AWS Security Hub CSPM 控件可评估 Amazon FSx 服务和资源。这些控件可能并非在所有 AWS 区域都可用。有关更多信息,请参阅 按地区划分的控件可用性。
[fsx.1] 应将适用于 OpenZFS 的 FSX 文件系统配置为将标签复制到备份和卷
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::FSx::FileSystem
AWS Config 规则: fsx-openzfs-copy-tags-enabled
计划类型:定期
参数:无
此控件检查适用于 OpenZFS 的 Amazon FSX 文件系统是否配置为将标签复制到备份和卷。如果 OpenZFS 文件系统未配置为将标签复制到备份和卷,则控制失败。
IT 资产的识别和清点是治理和安全的一个重要方面。标签帮助您按不同的方式对 AWS 资源进行分类,例如,按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用,因为您可以根据分配给特定资源的标签快速识别该资源。
修复
有关如何将适用于 OpenZFS 的 FSX 文件系统配置为将标签复制到备份和卷的信息,请参阅《适用于 OpenZFS 的 Amazon FSx 用户指南》中的更新文件系统。
[FSx.2] 应将适用于 Lustre 的 FSx 文件系统配置为将标签复制到备份
相关要求:NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::FSx::FileSystem
AWS Config 规则: fsx-lustre-copy-tags-to-backups
计划类型:定期
参数:无
此控件可检查适用于 Lustre 的 Amazon FSx 文件系统是否配置为将标签复制到备份和卷。如果 Lustre 文件系统未配置为将标签复制到备份和卷,则此控件将失败。
IT 资产的识别和清点是治理和安全的一个重要方面。标签帮助您按不同的方式对 AWS 资源进行分类,例如,按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用,因为您可以根据分配给特定资源的标签快速识别该资源。
修复
有关将适用于 Lustre 的 FSx 文件系统配置为将标签复制到备份的信息,请参阅《适用于 Lustre 的 Amazon FSx 用户指南》中的 Copying backups within the same AWS 账户。
[FSx.3] 应将适用于 OpenZFS 的 FSx 文件系统配置为多可用区部署
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则: fsx-openzfs-deployment-type-check
计划类型:定期
参数:deploymentTypes: MULTI_AZ_1(不可自定义)
此控件检查适用于 OpenZFS 的 Amazon FSx 文件系统是否配置为使用多可用区 (Multi-AZ) 部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。
适用于 OpenZFS 的 Amazon FSx 支持多种文件系统部署类型:多可用区 (HA)、单可用区 (HA) 和单可用区(非 HA)。部署类型提供不同级别的可用性和持久性。多可用区 (HA) 文件系统由一对分布在两个可用区 (AZ) 中的高可用性 (HA) 文件服务器组成。我们建议大多数生产工作负载使用多可用区 (HA) 部署类型,因为它提供了高可用性和持久性模型。
修复
创建文件系统时,您可以将适用于 OpenZFS 的 Amazon FSx 文件系统配置为使用多可用区部署类型。您无法更改现有适用于 OpenZFS 的 FSx 文件系统的部署类型。
有关适用于 OpenZFS 的 FSx 文件系统的部署类型和选项的信息,请参阅《适用于 OpenZFS 的 Amazon FSx 用户指南》中的 Availability and durability for Amazon FSx for OpenZFS 和 Managing file system resources。
[FSx.4] 应将适用于 NetApp ONTAP 的 FSx 文件系统配置为多可用区部署
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则: fsx-ontap-deployment-type-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
要包含在评估中的部署类型列表。如果文件系统未配置为使用列表中指定的部署类型,则该控件会生成 |
枚举 |
|
|
此控件检查适用于 NetApp ONTAP 的 Amazon FSx 文件系统是否配置为使用多可用区 (Multi-AZ) 部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。您可以选择执行要包含在评估中的部署类型列表。
适用于 NetApp ONTAP 的 Amazon FSX 支持多种文件系统部署类型:单可用区 1、单可用区 2、多可用区 1 和多可用区 2。部署类型提供不同级别的可用性和持久性。我们建议大多数生产工作负载使用多可用区部署类型,因为多可用区部署类型提供了高可用性和持久性模型。多可用区文件系统支持单可用区文件系统的所有可用性与持久性功能。此外,它们的设计目的是即使在可用区 (AZ) 不可用时也能持续提供数据可用性。
修复
您无法更改现有适用于 NetApp ONTAP 的 Amazon FSx 文件系统的部署类型。但是,您可以备份数据,然后将其还原到使用多可用区部署类型的新文件系统上。
有关适用于 ONTAP 的 FSx 文件系统的部署类型和选项的信息,请参阅《适用于 ONTAP 的 FSx 用户指南》中的 Availability, durability, and deployment options 和 Managing file systems。
[FSx.5] 应将适用于 Windows File Server 的 FSx 文件系统配置为多可用区部署
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::FSx::FileSystem
AWS Config 规则: fsx-windows-deployment-type-check
计划类型:定期
参数:deploymentTypes: MULTI_AZ_1(不可自定义)
此控件检查适用于 Windows File Server 的 Amazon FSx 文件系统是否配置为使用多可用区 (Multi-AZ) 部署类型。如果文件系统未配置为使用多可用区部署类型,则该控件会失败。
适用于 Windows File Server 的 Amazon FSx 支持两种文件系统部署类型:单可用区和多可用区。部署类型提供不同级别的可用性和持久性。单可用区文件系统由单个 Windows 文件服务器实例和单个可用区(AZ)内的一组存储卷组成。多可用区文件系统由分布在两个可用区的 Windows 文件服务器的高可用性集群组成。我们建议大多数生产工作负载使用多可用区部署类型,因为它提供了高可用性和持久性模型。
修复
创建文件系统时,您可以将适用于 Windows File Server 的 Amazon FSx 文件系统配置为使用多可用区部署类型。您无法更改现有适用于 Windows File Server 的 FSx 文件系统的部署类型。
有关适用于 Windows File Server 的 FSx 文件系统的部署类型和选项的信息,请参阅《适用于 Windows File Server 的 Amazon FSx 用户指南》中的 Availability and durability: Single-AZ and Multi-AZ file systems 和 Getting started with Amazon FSx for Windows File Server。
