Amazon CloudFront 控制

這些控制項與資 CloudFront 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱各區域控制項的可用性。

[CloudFront.1] CloudFront 發行版應該配置一個默認的根對象

相關需求：星期六七 (11)、NIST .800-53.R5 (16) NIST

分類:保護 > 安全存取管理 > 不可公開存取的資源

嚴重性：高

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-default-root-object-configured

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon CloudFront 分發是否設定為傳回預設根物件的特定物件。如果 CloudFront 散佈沒有設定預設根物件，則控制項會失敗。

使用者有時可能會要求發佈的根目錄，URL而不是發行版中的物件。發生這種情況時，指定預設根物件可協助避免暴露 Web 分佈的內容。

修補

若要設定 CloudFront 分發的預設根物件，請參閱 Amazon CloudFront 開發人員指南中的如何指定預設根物件。

[CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密

相關要求：NIST.800-53.r5 交流 -4, .800-53.r5 IA-5 (1), NIST .800-53.r5 (1), NIST .800-53.r5 SC-12 (3), .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 代 5, .800-53.R5 星期六 (1), NIST .800-53.R5 (二), NIST .800-53.r5 四七 (6) NIST NIST NIST NIST NIST NIST AC-17 SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-viewer-policy-https

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon CloudFront 分發是否要求檢視者HTTPS直接使用，或是否使用重新導向。如果設定ViewerProtocolPolicyallow-all為defaultCacheBehavior或，則控制項會失敗cacheBehaviors。

HTTPS(TLS) 可用來協助防止潛在攻擊者利用 person-in-the-middle或類似攻擊來竊聽或操控網路流量。應該只允許透過 HTTPS (TLS) 加密的連線。加密傳輸中的資料可能會影響效能。您應該使用此功能來測試應用程式，以瞭解效能設定檔及其影響TLS。

修補

若要加密傳輸中的 CloudFront 分發，請參閱HTTPS需要檢視者之間的通訊和 Amazon CloudFront 開發人員指南 CloudFront中的。

[CloudFront.4] CloudFront 發行版應該配置原始容錯移轉

相關要求：CP-10、NIST .800-53.R5 SC-36、NIST .800-53.R5（五）NISTNISTSI-13

分類:復原 > 復原能力 > 高可用性

嚴重性：低

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-origin-failover-enabled

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon CloudFront 分發是否設定為具有兩個或多個起源的原始群組。

CloudFront 原始容錯移轉可提高可用性。如果主要來源無法使用或傳回特定的回HTTP應狀態碼，原始容錯移轉會自動將流量重新導向至次要來源。

修補

若要設定 CloudFront 分發的原始容錯移轉，請參閱 Amazon CloudFront 開發人員指南中的建立原始群組。

[CloudFront.5] CloudFront 發行版應啟用日誌記錄

相關要求：NIST.800-53.R5 交流電 -2 (4)、NIST .800-53.R5 交流四 (26)、.800-53.R5 交流 -6 (9)、NIST .800-53.R5、.800-53.R5 (3)), NIST .800-53.r5 的鈣 -7, NIST .800-53.R5 星期六七 (9), NIST .800-53.r5 四 (8), .800-53.r5 四 (20), NIST .800-53.r5 NIST NIST NIST NIST NIST NIST NIST AU-10 AU-12

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-accesslogs-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查是否已在 CloudFront 分發上啟用伺服器存取記錄。如果未針對分佈啟用存取日誌記錄，則此控制會失敗。

CloudFront 訪問日誌提供有關 CloudFront 接收的每個用戶請求的詳細信息。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源，以及檢視者提出請求的連接埠號碼等資訊。

這些日誌適用於安全與存取稽核及鑑識調查等應用程式。如需有關如何分析存取日誌的其他指引，請參閱 Amazon Athena 使用者指南中的查詢 Amazon CloudFront 日誌。

修補

若要設定 CloudFront 分發的存取記錄，請參閱 Amazon CloudFront 開發人員指南中的設定和使用標準日誌 (存取日誌)。

[CloudFront.6] CloudFront 發行版應該已WAF啟用

相關要求：NIST交流 -4 (21)

分類:保護 > 保護服務

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-associated-with-waf

排程類型：已觸發變更

參數：無

此控制項會檢查 CloudFront 分發是否與「 AWS WAF 傳統」或「 AWS WAF Web」相關聯ACLs。如果分配與 Web 沒有關聯，則控制項失敗ACL。

AWS WAF 是一種網絡應用程序防火牆，可幫助保護 Web 應用程序和免APIs受攻擊。它可讓您設定一組稱為 Web 存取控制清單 (WebACL) 的規則，根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 CloudFront 分發與 AWS WAF Web 相關聯，ACL以幫助保護其免受惡意攻擊。

修補

若要將 AWS WAF Web ACL 與 CloudFront 分發產生關聯，請參閱 Amazon CloudFront 開發人員指南中的使用 AWS WAF 來控制內容的存取。

[CloudFront.7] CloudFront 發行版應使用自訂SSL/憑證 TLS

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-custom-ssl-certificate

排程類型：已觸發變更

參數：無

此控制項會檢查 CloudFront 發行版是否使用預設SSL/TLS憑證 CloudFront 提供。如果 CloudFront 發行版使用自訂SSL/TLS憑證，則此控制項會通過。如果 CloudFront 散發使用預設SSL/TLS憑證，則此控制項會失敗。

自訂SSL/TLS允許您的使用者使用替代網域名稱存取內容。您可以在 AWS Certificate Manager (建議使用) 或中儲存自訂憑證IAM。

修補

若要使用自訂SSL/TLS憑證為 CloudFront 分發新增替代網域名稱，請參閱 Amazon CloudFront 開發人員指南中的新增替代網域名稱。

[CloudFront.8] CloudFront 發行版應用SNI於服務HTTPS請求

相關需求：NIST三氯化鈣 -9 (1) NIST

類別：保護 > 安全網路組態

嚴重性：低

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-sni-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon CloudFront 分發是否使用自訂SSL/TLS憑證，並設定為用SNI來服務HTTPS請求。如果自訂SSL/TLS憑證已關聯，但SSL/TLS支援方法是專用 IP 位址，則此控制項會失敗。

伺服器名稱指示 (SNI) 是 2010 年之後發行的瀏覽器和用戶端所支援的TLS通訊協定的延伸。如果您設定使 CloudFront 用服務HTTPS請求SNI，請 CloudFront 將您的替代網域名稱與每個節點的 IP 位址建立關聯。當檢視者提交內容的HTTPS要求時，會將要求DNS路由至 IP 位址，以取得正確的節點位置。您網域名稱的 IP 位址是在SSL/TLS握手交涉期間決定的；IP 位址並非專用於您的分發。

修補

若要設定要用SNI來處理HTTPS要求的發 CloudFront 佈，請參閱 CloudFront 開發人員指南中的使SNI用服務HTTPS要求 (適用於大多數用戶端)。

[CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-traffic-to-origin-encrypted

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon CloudFront 分發是否正在加密到自訂來源的流量。對於原始通訊協定原則允許「僅限 http-ly」的 CloudFront 發行版，此控制項會失敗。如果發行版的原始協議策略是「匹配查看器」，而查看器協議策略是「全部」，則此控制也會失敗。

HTTPS(TLS) 可用來協助防止竊聽或操控網路流量。應該只允許透過 HTTPS (TLS) 加密的連線。

修補

若要更新 Origin 通訊協定政策以要求 CloudFront 連線加密，請參閱 Amazon CloudFront 開發人員指南中HTTPS的「需要 CloudFront 與您的自訂原始伺服器之間的通訊」。

[CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用棄用的SSL協議

相關要求：NIST.800-53.r5 交流 -4，.800-53.r5 IA-5 (1)，NIST.800-53.r5 (1)，NIST.800-53.r5 SC-12 (3)，.800-53.r5 SC-13，.800-53.r5 SC-23，NIST.800-53.r5，.800-53.r5, .800-53.R5 星期六 (2), NIST .800-53.R5 四七 (6) NIST NIST NIST NIST NIST NIST AC-17

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-no-deprecated-ssl-protocols

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon CloudFront 分發是否使用已取代的HTTPS通訊SSL協定，在 CloudFront 節點和您的自訂來源之間進行通訊。如果 CloudFront 發行版具有CustomOriginConfig其中OriginSslProtocols包含，則此控制項會失敗SSLv3。

2015 年，互聯網工程任務小組（IETF）正式宣布 SSL 3.0 應該被棄用，因為該協議不夠安全。建議您使用 TLSv1 .2 或更新版本來HTTPS與自訂來源通訊。

修補

若要更新 CloudFront 分發的 Origin SSL 協定，請參閱 Amazon CloudFront 開發人員指南中的「需要HTTPS CloudFront 與您的自訂來源之間進行通訊」。

[CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源

相關需求：CM-2 NIST、五分之二 NIST

類別:識別 > 資源配置

嚴重性：高

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-s3-origin-non-existent-bucket

排程類型：定期

參數：無

此控制項可檢查 Amazon CloudFront 分發是否指向不存在的 Amazon S3 起源。如果原點設定為指向不存在的值區，則 CloudFront 分配控制項會失敗。此控制項僅適用於沒有靜態網站託管的 S3 儲存貯體是 S3 來源的 CloudFront 散佈。

當您帳戶中的 CloudFront 散佈設定為指向不存在的值區時，惡意的第三方可以建立參照的值區，並透過您的散佈提供自己的內容。我們建議您檢查所有原點，而不考慮佈線行為，以確保您的分佈指向適當的原點。

修補

若要修改 CloudFront 分發以指向新來源，請參閱 Amazon CloudFront 開發人員指南中的更新分發。

[CloudFront.13] CloudFront 發行版應使用源訪問控制

分類:保護 > 安全存取管理 > 無法公開存取的資源

嚴重性：中

資源類型：AWS::CloudFront::Distribution

AWS Config 規則：cloudfront-s3-origin-access-control-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon S3 來源的 CloudFront 分發是否已設定來源存取控制 (OAC)。如果OAC未針對 CloudFront 散佈進行設定，則控制項會失敗。

使用 S3 儲存貯體做為 CloudFront 分發的來源時，您可以啟用OAC。這只允許通過指定的 CloudFront 分發訪問值區中的內容，並禁止直接從存儲桶或其他發行版訪問。雖然 CloudFront 支援 Origin 存取身分識別 (OAI)，但OAC提供了其他功能，而且使用的發行版OAI可以移轉至OAC。雖然OAI提供了一種安全的方式來存取 S3 來源，但它有一些限制，例如缺乏對精細政策組態的支援，以及使用需要 AWS 簽名版本 4 (SIGv4) 之POST方法的HTTP/HTTPS請求。 AWS 區域 OAI也不支持 AWS Key Management Service. OAC是根據使用IAM服務主體透過 S3 來源進行驗證的 AWS 最佳作法為基礎。

修補

若要針OAC對具有 S3 來源的 CloudFront 分發進行設定，請參閱 Amazon CloudFront 開發人員指南中的限制對 Amazon S3 來源的存取。

[CloudFront.14] CloudFront 分佈應標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::CloudFront::Distribution

AWS Config 規則:tagged-cloudfront-distribution(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
`requiredTagKeys`	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	無預設值

此控制項會檢查 Amazon CloudFront 分發是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果分配沒有任何標籤鍵，或者它沒有在參數中指定的所有鍵，則控制項失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果未使用任何索引鍵標記散佈，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責的資源擁有者，以取得動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱有什麼ABAC用途 AWS？在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至 CloudFront 分發，請參閱 Amazon CloudFront 開發人員指南中的標記 Amazon CloudFront 分發。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

CloudFormation 控制

CloudTrail 控制