Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untuk Amazon Bedrock AgentCore
AWS Security Hub CSPM Kontrol ini mengevaluasi AgentCore layanan dan sumber daya Amazon Bedrock. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::BedrockAgentCore::Runtime
AWS Config aturan: bedrockagentcore-runtime-private-network-required
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AgentCore runtime Amazon Bedrock dikonfigurasi dengan mode jaringan VPC. Kontrol gagal jika runtime memiliki mode jaringan yang disetel ke PUBLIC.
Menggunakan mode jaringan publik untuk AgentCore runtime Amazon Bedrock mengekspos runtime langsung ke internet, meningkatkan permukaan serangan dan risiko akses yang tidak sah. Mengkonfigurasi runtime dengan mode jaringan VPC memastikan bahwa lalu lintas runtime terbatas dalam jaringan pribadi Anda, memungkinkan Anda untuk menerapkan kontrol keamanan tingkat jaringan seperti grup keamanan, ACL jaringan, dan log aliran VPC.
Remediasi
Untuk memulihkan temuan ini, perbarui AgentCore runtime Bedrock yang tidak sesuai dan konfigurasikan dengan mode jaringan VPC. Untuk petunjuknya, lihat Mengonfigurasi AgentCore Runtime Amazon Bedrock dan alat untuk VPC di Panduan Pengembang Amazon Bedrock. AgentCore
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::BedrockAgentCore::Gateway
AWS Config aturan: bedrockagentcore-gateway-authorizer-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah Amazon Bedrock AgentCore Gateway memerlukan otorisasi untuk permintaan masuk. Kontrol gagal jika Bedrock AgentCore Gateway tidak memiliki otorisasi masuk yang disiapkan.
Mengonfigurasi otentikasi di AgentCore gateway Amazon Bedrock memastikan bahwa hanya klien yang berwenang yang dapat mengirim permintaan ke agen AI Anda. Tanpa otorisasi, entitas apa pun yang memiliki akses jaringan ke titik akhir gateway dapat memanggil agen Anda, yang berpotensi menyebabkan akses data yang tidak sah, penyalahgunaan sumber daya, atau biaya tak terduga. Otorisasi masuk memvalidasi pengguna yang mencoba mengakses target melalui gateway Anda. AgentCore
Remediasi
Untuk menyiapkan otorisasi masuk untuk Amazon Bedrock AgentCore Gateway, lihat Menyiapkan otorisasi masuk untuk gateway Anda di Panduan Pengembang Amazon Bedrock. AgentCore
[BedrockAgentCore.3] AgentCore Memori Batuan Dasar harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
Persyaratan terkait: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::BedrockAgentCore::Memory
AWS Config aturan: bedrock-agentcore-memory-encryption-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AgentCore Memori Bedrock Amazon dienkripsi saat istirahat dengan kunci yang dikelola pelanggan. AWS KMS Kontrol gagal jika AgentCore Memori Batuan Dasar tidak dienkripsi dengan kunci KMS yang dikelola pelanggan.
Menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi AgentCore memori Amazon Bedrock memberikan keamanan yang ditingkatkan melalui kunci terkelola layanan default. Kunci KMS yang dikelola pelanggan memberi Anda kontrol penuh atas siklus hidup kunci enkripsi dan kebijakan akses. Selain itu, semua penggunaan kunci enkripsi dapat dicatat dan dipantau AWS CloudTrail untuk auditabilitas.
Remediasi
Untuk mengenkripsi AgentCore Memori Amazon Bedrock Anda dengan kunci KMS yang dikelola pelanggan, lihat Mengenkripsi AgentCore Memori Amazon Bedrock Anda di Panduan Pengembang Amazon Bedrock. AgentCore
[BedrockAgentCore.4] Bedrock AgentCore Gateway harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
Persyaratan terkait: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::BedrockAgentCore::Gateway
AWS Config aturan: bedrockagentcore-gateway-encryption-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah Amazon Bedrock AgentCore Gateway dienkripsi saat istirahat dengan kunci yang dikelola pelanggan. AWS KMS Kontrol gagal jika Bedrock AgentCore Gateway tidak dienkripsi dengan kunci KMS yang dikelola pelanggan.
Secara default, Amazon Bedrock AgentCore mengenkripsi data gateway dengan AWS kunci terkelola. Menggunakan kunci KMS yang dikelola pelanggan memberi Anda kontrol penuh atas siklus hidup kunci enkripsi, termasuk rotasi, kebijakan akses, dan audit. AWS CloudTrail Ini membantu memenuhi persyaratan kepatuhan yang mengamanatkan enkripsi yang dikendalikan pelanggan untuk beban kerja AI yang sensitif.
Remediasi
Untuk mengenkripsi AgentCore Gateway Bedrock Anda dengan kunci KMS yang dikelola pelanggan, lihat Mengenkripsi AgentCore gateway Anda dengan kunci KMS yang dikelola pelanggan di Panduan Pengembang Amazon Bedrock. AgentCore
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::BedrockAgentCore::BrowserCustom
AWS Config aturan: bedrockagentcore-browsercustom-network-mode-not-public
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah browser AgentCore kustom Amazon Bedrock dikonfigurasi dengan mode jaringan publik. Kontrol gagal jika mode jaringan diatur ke publik.
Menggunakan mode jaringan PUBLIK untuk browser AgentCore kustom Amazon Bedrock mengekspos sesi browser langsung ke internet, meningkatkan permukaan serangan dan risiko akses yang tidak sah. Mengkonfigurasi browser dengan mode jaringan VPC memastikan bahwa lalu lintas browser terbatas dalam jaringan pribadi Anda, memungkinkan Anda untuk menerapkan kontrol keamanan tingkat jaringan seperti grup keamanan, ACL jaringan, dan log aliran VPC.
Remediasi
Untuk memulihkan temuan ini, hapus browser AgentCore kustom Bedrock yang tidak sesuai dan buat ulang dengan mode jaringan VPC. Untuk petunjuknya, lihat Mengonfigurasi AgentCore Runtime Amazon Bedrock dan alat untuk VPC di Panduan Pengembang Amazon Bedrock. AgentCore
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::BedrockAgentCore::BrowserCustom
AWS Config aturan: bedrockagentcore-browsercustom-recording-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah browser AgentCore kustom Amazon Bedrock memiliki perekaman sesi yang diaktifkan dengan tujuan S3 yang dikonfigurasi. Kontrol gagal jika browser khusus tidak mengaktifkan perekaman atau tidak memiliki lokasi S3 yang dikonfigurasi untuk menyimpan rekaman.
Rekaman sesi untuk browser AgentCore kustom Bedrock memastikan auditabilitas penuh interaksi browser, memungkinkan deteksi akses tidak sah, eksfiltrasi data, atau aktivitas berbahaya selama sesi penjelajahan otomatis.
Remediasi
Untuk petunjuk tentang cara mengaktifkan perekaman sesi browser, lihat Perekaman Sesi dan Putar Ulang di Panduan AgentCore Pengembang Amazon Bedrock.
