View a markdown version of this page

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata[BedrockAgentCore.3] Bedrock AgentCore Memory deve essere crittografata e gestita dal cliente AWS KMS keys[BedrockAgentCore.4] Bedrock AgentCore Gateway deve essere crittografato con Customer Managed AWS KMS keys[BedrockAgentCore.5] I browser personalizzati AgentCore Bedrock non devono utilizzare la modalità di rete pubblica[BedrockAgentCore.6] I browser AgentCore personalizzati Bedrock devono avere la registrazione delle sessioni abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore

Questi AWS Security Hub CSPM controlli valutano il AgentCore servizio e le risorse Amazon Bedrock. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Runtime

Regola AWS Config : bedrockagentcore-runtime-private-network-required

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AgentCore runtime Amazon Bedrock è configurato con la modalità di rete VPC. Il controllo fallisce se la modalità di rete del runtime è impostata su PUBLIC.

L'utilizzo della modalità di rete pubblica per i AgentCore runtime di Amazon Bedrock espone il runtime direttamente a Internet, aumentando la superficie di attacco e il rischio di accessi non autorizzati. La configurazione dei runtime con la modalità di rete VPC garantisce che il traffico di runtime sia limitato all'interno della rete privata, consentendoti di applicare controlli di sicurezza a livello di rete come gruppi di sicurezza, ACL di rete e log di flusso VPC.

Correzione

Per correggere questo problema, aggiorna il AgentCore runtime Bedrock non conforme e configuralo con la modalità di rete VPC. Per istruzioni, consulta Configurare Amazon Bedrock AgentCore Runtime e gli strumenti per VPC nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Gateway

Regola AWS Config : bedrockagentcore-gateway-authorizer-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Amazon Bedrock AgentCore Gateway richiede l'autorizzazione per le richieste in entrata. Il controllo fallisce se Bedrock AgentCore Gateway non ha configurato l'autorizzazione in entrata.

La configurazione dell'autenticazione sui AgentCore gateway Amazon Bedrock garantisce che solo i client autorizzati possano inviare richieste ai tuoi agenti AI. Senza un'autorizzazione, qualsiasi entità con accesso di rete all'endpoint gateway può invocare i tuoi agenti, con conseguenti possibili accessi non autorizzati ai dati, abuso di risorse o costi imprevisti. L'autorizzazione in entrata convalida gli utenti che tentano di accedere agli obiettivi tramite il gateway. AgentCore

Correzione

Per configurare l'autorizzazione in entrata per un Amazon Bedrock AgentCore Gateway, consulta Configurare l'autorizzazione in entrata per il gateway nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.3] Bedrock AgentCore Memory deve essere crittografata e gestita dal cliente AWS KMS keys

Requisiti correlati: NIST.800-53.r5 AU-9 NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::Memory

Regola AWS Config : bedrock-agentcore-memory-encryption-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una AgentCore memoria Amazon Bedrock è crittografata quando è inattiva con una AWS KMS chiave gestita dal cliente. Il controllo fallisce se la Bedrock AgentCore Memory non è crittografata con una chiave KMS gestita dal cliente.

L'utilizzo di una chiave KMS gestita dal cliente per la crittografia della AgentCore memoria Amazon Bedrock offre una maggiore sicurezza rispetto alla chiave gestita dal servizio predefinita. Le chiavi KMS gestite dal cliente offrono il pieno controllo sul ciclo di vita delle chiavi di crittografia e sulle politiche di accesso. Inoltre, tutto l'utilizzo delle chiavi di crittografia può essere registrato e monitorato per verificarne la verificabilità. AWS CloudTrail

Correzione

Per crittografare la tua AgentCore memoria Amazon Bedrock con una chiave KMS gestita dal cliente, consulta Encrypt your Amazon Bedrock AgentCore Memory nella Amazon Bedrock Developer Guide. AgentCore

[BedrockAgentCore.4] Bedrock AgentCore Gateway deve essere crittografato con Customer Managed AWS KMS keys

Requisiti correlati: NIST.800-53.r5 AU-9 NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-12 (2), NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::Gateway

Regola AWS Config : bedrockagentcore-gateway-encryption-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Amazon Bedrock AgentCore Gateway è crittografato quando è inattivo con una AWS KMS chiave gestita dal cliente. Il controllo fallisce se Bedrock AgentCore Gateway non è crittografato con una chiave KMS gestita dal cliente.

Per impostazione predefinita, Amazon Bedrock AgentCore crittografa i dati del gateway con chiavi AWS gestite. L'utilizzo di una chiave KMS gestita dal cliente ti offre il pieno controllo sul ciclo di vita della chiave di crittografia, inclusa la rotazione, le politiche di accesso e il controllo. AWS CloudTrail Questo aiuta a soddisfare i requisiti di conformità che impongono la crittografia controllata dal cliente per carichi di lavoro AI sensibili.

Correzione

Per crittografare il tuo Bedrock AgentCore Gateway con una chiave KMS gestita dal cliente, consulta Crittografa il tuo AgentCore gateway con una chiave KMS gestita dal cliente nella Amazon Bedrock Developer Guide. AgentCore

[BedrockAgentCore.5] I browser personalizzati AgentCore Bedrock non devono utilizzare la modalità di rete pubblica

Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::BrowserCustom

Regola AWS Config : bedrockagentcore-browsercustom-network-mode-not-public

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un browser AgentCore personalizzato Amazon Bedrock è configurato con la modalità di rete pubblica. Il controllo fallisce se la modalità di rete è impostata su pubblica.

L'utilizzo della modalità di rete PUBBLICA per i browser AgentCore personalizzati Amazon Bedrock espone le sessioni del browser direttamente a Internet, aumentando la superficie di attacco e il rischio di accessi non autorizzati. La configurazione dei browser con la modalità di rete VPC garantisce che il traffico del browser sia limitato all'interno della rete privata, consentendoti di applicare controlli di sicurezza a livello di rete come gruppi di sicurezza, ACL di rete e log di flusso VPC.

Correzione

Per correggere questo problema, elimina il browser AgentCore personalizzato Bedrock non conforme e ricrealo con la modalità di rete VPC. Per istruzioni, consulta Configurare Amazon Bedrock AgentCore Runtime e gli strumenti per VPC nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.6] I browser AgentCore personalizzati Bedrock devono avere la registrazione delle sessioni abilitata

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::BedrockAgentCore::BrowserCustom

Regola AWS Config : bedrockagentcore-browsercustom-recording-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un browser AgentCore personalizzato Amazon Bedrock ha la registrazione della sessione abilitata con una destinazione S3 configurata. Il controllo fallisce se un browser personalizzato non ha la registrazione abilitata o non ha una posizione S3 configurata per l'archiviazione delle registrazioni.

La registrazione delle sessioni per i browser AgentCore personalizzati Bedrock garantisce la piena verificabilità delle interazioni del browser, consentendo il rilevamento di accessi non autorizzati, esfiltrazione di dati o attività dannose durante le sessioni di navigazione automatizzate.

Correzione

Per istruzioni su come abilitare la registrazione delle sessioni del browser, consulta Session Recording and Replay nella Amazon Bedrock AgentCore Developer Guide.