适用于 Kinesis 的 Security Hub 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Kinesis 的 Security Hub 控件

这些 Amazon Security Hub 控件可评估 Amazon Kinesis 服务和资源。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性

[Kinesis.1] Kinesis 直播应在静态状态下进行加密

相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::Kinesis::Stream

Amazon Config 规则:kinesis-stream-encrypted

计划类型:已触发变更

参数:

此控件检查 Kinesis Data Streams 是否使用服务器端加密进行静态加密。如果 Kinesis 流未使用服务器端加密进行静态加密,则此控制失败。

服务器端加密是 Amazon Kinesis Data Streams 中的一项功能,它使用 Amazon KMS key 在数据静止之前自动对其进行加密。数据在写入 Kinesis 流存储层之前进行加密,并在从存储中检索后进行解密。因此,在 Amazon Kinesis Data Streams 服务中对数据进行静态加密。

修复

有关启用 Kinesis 流的服务器端加密的信息,请参阅 Amazon Kinesis 开发人员指南中的“如何开始使用服务器端加密?”

[Kinesis.2] 应标记 Kinesis 流

类别:识别 > 清单 > 标记

严重性:

资源类型:Amazon::Kinesis::Stream

Amazon Config规则:tagged-kinesis-stream(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 Amazon 要求的标签列表 无默认值

此控件可检查 Amazon Kinesis 数据流是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果数据流没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果数据流未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记,由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC?

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 Amazon Web Services 服务 访问标签,包括 Amazon Billing。有关标记更多最佳实践,请参阅《Amazon Web Services 一般参考》中的标记 Amazon 资源

修复

要向 Kinesis 数据流添加标签,请参阅《Amazon Kinesis Developer Guide》中的 Tagging your streams in Amazon Kinesis Data Streams

[Kinesis.3] Kinesis 流应有足够的数据留存期

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:Amazon::Kinesis::Stream

Amazon Config 规则:kinesis-stream-backup-retention-check

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
minimumBackupRetentionPeriod 数据应保留的最少小时数。 String 24 到 8760 168

此控件可检查 Amazon Kinesis 数据流的数据留存期是否大于或等于指定时间范围。如果数据留存期小于指定时间范围,则此控件将失败。除非您为数据留存期提供自定义参数值,否则 Security Hub 将使用默认值 168 小时。

在 Kinesis Data Streams 中,数据流是指数据记录的有序序列,可用于执行实时写入和读取。数据记录临时存储在您流的分片中。从添加记录开始,到记录不再可供访问为止的时间段称为保留期。在缩短保留期后,Kinesis Data Streams 几乎会立即使早于新保留期的记录变得不可访问。例如,将保留期从 24 小时更改为 48 小时意味着,在 23 小时 55 分钟之前添加到流中的记录在 24 小时之后仍可用。

修复

要更改 Kinesis Data Streams 的备份保留期,请参阅《Amazon Kinesis Data Streams 开发人员指南》中的更改数据留存期