Amazon CloudFront 控制 - AWS Security Hub
[CloudFront.1] CloudFront 發行版應該配置一個默認的根對象[CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密[CloudFront.4] CloudFront 發行版應該配置原始容錯移轉[CloudFront.5] CloudFront 發行版應啟用日誌記錄[CloudFront.6] CloudFront 發行版應啟用 WAF[CloudFront.7] CloudFront 發行版本應使用自訂 SSL/TLS 憑證[CloudFront.8] CloudFront 發行版應該使用 SNI 來提供 HTTPS 請求[CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量[CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用已棄用的 SSL 協議[CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源[CloudFront.13] CloudFront 發行版應使用源訪問控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon CloudFront 控制

這些控制項與資 CloudFront 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[CloudFront.1] CloudFront 發行版應該配置一個默認的根對象

相關要求:日本七七 (11)、日本七星期五 (16)

分類:保護 > 安全存取管理 > 不可公開存取的資源

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-default-root-object-configured

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon CloudFront 分發是否設定為傳回預設根物件的特定物件。如果 CloudFront 散佈沒有設定預設根物件,則控制項會失敗。

使用者有時可能會要求發佈的根 URL,而不是發佈中的物件。發生這種情況時,指定預設根物件可協助避免暴露 Web 分佈的內容。

修補

若要設定 CloudFront 分發的預設根物件,請參閱 Amazon CloudFront 開發人員指南中的如何指定預設根物件

[CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密

相關要求:第 800-53.R5 AC-17 (2), 交流 -4, 奈特. 800-53.R5 IA-5 (1), 奈特. 800-53.R5 (3), 尼斯. 800-53.R5 SC-13, 奈特. 七月八日 (5), 日本八分之五 (1), 星期六 (5), 七月八日 (6) SC-12 SC-23 SC-23

類別:保護 > 資料保護 > 傳輸中資料加密

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-viewer-policy-https

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon CloudFront 分發是否要求檢視者直接使用 HTTPS,或是否使用重新導向。如果ViewerProtocolPolicy設定allow-all為 for defaultCacheBehavior 或,則控制項會失敗cacheBehaviors

HTTPS (TLS) 可用來協助防止潛在攻擊者利用 person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能來測試應用程式,以瞭解效能設定檔和 TLS 的影響。

修補

若要加密傳輸中的 CloudFront 分發,請參閱在檢視者之間需要 HTTPS 進行通訊和 Amazon CloudFront 開發人員指南 CloudFront中的。

[CloudFront.4] CloudFront 發行版應該配置原始容錯移轉

相關要求:CP-10, 尼斯 -53.R5 SC-36, 尼斯. 800-53.R5 SC-5 (2), 奈特 800-53.R5 SI-13 (5)

分類:復原 > 復原能力 > 高可用性

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-origin-failover-enabled

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon CloudFront 分發是否設定為具有兩個或多個起源的原始群組。

CloudFront 原始容錯移轉可提高可用性。如果主要來源無法使用或傳回特定的 HTTP 回應狀態碼,原始容錯移轉會自動將流量重新導向至次要來源。

修補

若要設定 CloudFront 分發的原始容錯移轉,請參閱 Amazon CloudFront 開發人員指南中的建立原始群組

[CloudFront.5] CloudFront 發行版應啟用日誌記錄

相關要求:交流電 -2 (4)、交流電四 (26)、奈特 .800-53.R5 交流 -6 (9)、指定交流 -6 (9)、AU-10、尼斯.五月五日六星期六 (4), 日本七點八十七 (7), 尼斯 .800-53.R5 (9), 尼斯 .800-53.R5 系統 -4 (20), 尼斯. AU-12

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-accesslogs-enabled

排程類型:已觸發變更

參數:

此控制項會檢查是否已在 CloudFront 分發上啟用伺服器存取記錄。如果未針對分佈啟用存取日誌記錄,則此控制會失敗。

CloudFront 訪問日誌提供有關 CloudFront 接收的每個用戶請求的詳細信息。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源,以及檢視者提出請求的連接埠號碼等資訊。

這些日誌適用於安全與存取稽核及鑑識調查等應用程式。如需有關如何分析存取日誌的其他指引,請參閱 Amazon Athena 使用者指南中的查詢 Amazon CloudFront 日誌

修補

若要設定 CloudFront 分發的存取記錄,請參Amazon CloudFront 開發人員指南中的設定和使用標準日誌 (存取日誌)

[CloudFront.6] CloudFront 發行版應啟用 WAF

相關要求:交流 -4 (21)

分類:保護 > 保護服務

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-associated-with-waf

排程類型:已觸發變更

參數:

此控制項會檢查 CloudFront 發行版是否與 AWS WAF 傳統或 AWS WAF Web ACL 相關聯。如果分配與 Web ACL 沒有關聯,則控制項會失敗。

AWS WAF 是一種網絡應用程序防火牆,可幫助保護 Web 應用程序和 API 免受攻擊。其可讓您設定一組稱為 Web 存取控制清單 (Web ACL) 的規則,該組規則可根據您定義的可自訂 Web 安全規則與條件來允許、封鎖或計數 Web 請求。確保您的 CloudFront 發行版與 AWS WAF Web ACL 相關聯,以幫助保護其免受惡意攻擊。

修補

若要將 AWS WAF Web ACL 與 CloudFront 分發產生關聯,請參閱 Amazon CloudFront 開發人員指南的使用 AWS WAF 控制內容存取

[CloudFront.7] CloudFront 發行版本應使用自訂 SSL/TLS 憑證

相關要求:第 800-53.R5 AC-17 (2), 交流 -4, 奈特. 800-53.R5 IA-5 (1), 奈特. 800-53.R5 (3), 尼斯. 800-53.R5 SC-13, 奈特. 七月八日 (5), 日本八分之五 (1), 星期六 (5), 七月八日 (6) SC-12 SC-23 SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-custom-ssl-certificate

排程類型:已觸發變更

參數:

此控制項會檢查 CloudFront 發行版是否使用預設 SSL/TLS 憑證 CloudFront 提供。如果 CloudFront 發行版使用自訂 SSL/TLS 憑證,則此控制項會通過。如果 CloudFront 散發使用預設 SSL/TLS 憑證,則此控制項會失敗。

自訂 SSL/TLS 可讓您的使用者使用替代網域名稱存取內容。您可以在 AWS Certificate Manager (建議使用) 或 IAM 中儲存自訂憑證。

修補

若要使用自訂 SSL/TLS 憑證為 CloudFront 分發新增替代網域名稱,請參閱 Amazon CloudFront 開發人員南中的新增替代網域名稱

[CloudFront.8] CloudFront 發行版應該使用 SNI 來提供 HTTPS 請求

相關需求:鎳碳酸鈣 -9 (1)、五分之五公分

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-sni-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon CloudFront 分發是否使用自訂 SSL/TLS 憑證,並設定為使用 SNI 來提供 HTTPS 請求。如果自訂 SSL/TLS 憑證已關聯,但 SSL/TLS 支援方法是專用 IP 位址,則此控制項會失敗。

伺服器名稱指示 (SNI) 是 TLS 通訊協定的延伸,2010 年之後推出的瀏覽器和用戶端支援此選項。如果您設定 CloudFront 為使用 SNI 提供 HTTPS 要求,請 CloudFront 將您的替代網域名稱與每個節點的 IP 位址建立關聯。當檢視器提交內容的 HTTPS 請求時,DNS 會將請求路由到正確節點的 IP 地址。您網域名稱的 IP 地址在 SSL/TLS 交握溝通期間決定;IP 地址並非專用於您的分佈。

修補

若要設定 CloudFront 散發使用 SNI 來提供 HTTPS 要求,請參閱 CloudFront 開發人員指南中的使用 SNI 提供 HTTPS 要求 (適用於大多數用戶端)

[CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量

相關要求:第 800-53.R5 AC-17 (2), 交流 -4, 奈特. 800-53.R5 IA-5 (1), 奈特. 800-53.R5 (3), 尼斯. 800-53.R5 SC-13, 奈特. 七月八日 (5), 日本八分之五 (1), 星期六 (5), 七月八日 (6) SC-12 SC-23 SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-traffic-to-origin-encrypted

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon CloudFront 分發是否正在加密到自訂來源的流量。對於原始通訊協定原則允許「僅限 http-ly」的 CloudFront 發行版,此控制項會失敗。如果發行版的原始協議策略是「匹配查看器」,而查看器協議策略是「全部」,則此控制也會失敗。

HTTPS (TLS) 可用來協助防止竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。

修補

若要將原始通訊協定政策更新為要求 CloudFront 連線加密,請參閱 Amazon CloudFront 開發人員指南中的在 CloudFront 與您的自訂原始伺服器之間進行通訊時需要 HTTPS 進行通訊。

[CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用已棄用的 SSL 協議

相關要求:東西 800-53.R5 (2), 交流 4, 奈特. 800-53.R5 IA-5 (1), 奈特. 800-53.R5 (3), 尼斯. 800-53.R5 SC-13, -53.R5 SC-8 (1), 日本八分之五 (2), 日本七七 (6) AC-17 SC-12 SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-no-deprecated-ssl-protocols

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon CloudFront 分發是否使用已淘汰的 SSL 通訊協定,在 CloudFront 節點和您的自訂來源之間進行 HTTPS 通訊。如果 CloudFront 發行版具有CustomOriginConfig其中OriginSslProtocols包含,則此控制項會失敗SSLv3

2015 年,互聯網工程任務小組(IETF)正式宣布,由於協議安全性不足,SSL 3.0 應該被棄用。建議您使用 TLSv1.2 或更新版本,進行 HTTPS 通訊至您的自訂來源。

修補

若要更新 CloudFront 分發的原始 SSL 通訊協定,請參閱 Amazon CloudFront 開發人員指南的「在 CloudFront 與您的自訂來源之間進行通訊時需要 HTTPS 進行通訊」。

[CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源

相關需求:第五代公分 (2)

類別:識別 > 資源配置

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-s3-origin-non-existent-bucket

排程類型:定期

參數:

此控制項可檢查 Amazon CloudFront 分發是否指向不存在的 Amazon S3 起源。如果原點設定為指向不存在的值區,則 CloudFront 分配控制項會失敗。此控制項僅適用於沒有靜態網站託管的 S3 儲存貯體是 S3 來源的 CloudFront 散佈。

當您帳戶中的 CloudFront 散佈設定為指向不存在的值區時,惡意的第三方可以建立參照的值區,並透過您的散佈提供自己的內容。我們建議您檢查所有原點,而不考慮佈線行為,以確保您的分佈指向適當的原點。

修補

若要修改 CloudFront 分發以指向新來源,請參閱 Amazon CloudFront 開發人員指南中的更新分

[CloudFront.13] CloudFront 發行版應使用源訪問控制

類別:保護 > 安全存取管理 > 資源原則設定

嚴重性:

資源類型:AWS::CloudFront::Distribution

AWS Config 規則:cloudfront-s3-origin-access-control-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon S3 來源的 CloudFront 分發是否已設定原始存取控制 (OAC)。如果未針對 CloudFront 散佈設定 OAC,則控制項會失敗。

使用 S3 儲存貯體做為 CloudFront 分發的來源時,您可以啟用 OAC。這只允許通過指定的 CloudFront 分發訪問值區中的內容,並禁止直接從存儲桶或其他發行版訪問。雖然 CloudFront 支援原始存取身分識別 (OAI),但 OAC 提供額外的功能,而且使用 OAI 的散佈可以移轉至 OAC。雖然 OAI 提供了一種安全的方式來存取 S3 來源,但它有一些限制,例如缺乏對精細政策組態的支援,以及使用 POST 方法的 HTTP/HTTPS 要求 (需 AWS 區域 要 AWS 簽名版本 4 (Sigv4)。OAI 也不支援使用 AWS Key Management Service. OAC 是以使用 IAM 服務主體透過 S3 來源驗證的 AWS 最佳作法為基礎。

修補

若要針對具有 S3 來源的 CloudFront 分發設定 OAC,請參閱 Amazon CloudFront 開發人員南中的限制對 Amazon S3 來源的存取