Cloud Postureのサポートに関するよくある質問への回答を示します。
Agentless Vulnerabilityおよび脅威の検出に関連する潜在的なルールの失敗は何ですか?
新しい[Guided Exclusions]機能は、デフォルトで自動的に有効になり、AVTDリソースを除外して、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、環境設定の管理を参照してください。
新しいガイド付き除外機能は、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぐために、AVTDリソースを除外するようにデフォルトで自動的に有効化されています。除外の無効化方法を含む詳細については
除外されたリソースの潜在的なルール検出
以下の潜在的なルールの発見はトレンドマイクロチームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は適用されず、安全に無視することができます。
Lambda-009: 環境変数の保存時暗号化を顧客管理キーで有効化: AVTDリソースはデフォルトキーで安全に暗号化されています。さらに、環境変数には秘密情報が含まれていないため、顧客管理キーを使用した追加の暗号化は必要ありません。
SecretsManager-001: KMSカスタマーマスターキーで暗号化されたシークレット: AVTDリソースはデフォルトキーで安全に暗号化されているため、顧客管理キーを使用した追加の暗号化は必要ありません。
Lambda-001: 最新のランタイム環境を使用するLambda: AVTDは、すべてのLambdaがサポートされているランタイム環境を使用し、サポート終了日がないことを保証します。すべてのサポートされているランタイム環境は、AWSから頻繁にセキュリティアップデートを受け取ります。
Lambda-003: Lambdaトレースが有効: AVTDはこの機能をリリース前に徹底的にテストするため、トレースの有効化による追加の可視性は必要ありません。
SecretsManager-002:シークレットのローテーションが有効 AVTDはAWSが提供するものではなく独自のシークレット機能を使用するため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
SecretsManager-003: シークレットのローテーション間隔 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
S3-024: S3 Transfer Acceleration: AVTD機能は転送加速機能を使用しません。
Lambda-006: 複数のLambda関数に対してIAMロールを使用する: AVTDは「パーミッションプレーン」と呼ばれる戦略を採用しており、同一の権限を必要とするLambda関数が単一のIAMロールを使用します。これにより、複数のリージョンにデプロイする際の効率性と管理性が確保されます。例えば、顧客のクラウドアカウントで使用されるIAMロールの数を減らすことができます
Lambda-007:AWS Lambda関数のVPCアクセス: AVTDは、VPCの実装が必要なRedshift、ElastiCache、RDSなどのリソースを使用しません。
CFM-001: CloudFormationスタック通知: AVTD CloudFormationスタックは既にAWSではなくV1 CAMを介して管理されています。
CFM-002: CloudFormationスタックポリシー: AVTD CloudFormationスタックはすでにAWSではなくV1 CAMを介して管理されています。
CFM-005:CloudFormationスタック終了保護: 環境内のスタックを管理するために、AVTDはユーザがスタックを無効化し、アカウントから削除することを許可します
S3-025: 顧客提供キーCMKで暗号化されたS3バケット: AVTDはすでにS3管理キーを使用して暗号化されています。
SQS-006:SQSデッドレターキュー: AVTDは、該当する場合にいくつかのSQSリソースでデッドレターキュー (DLQ) を実装します。
S3-013: S3バケットMFA削除が有効: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されるのを防ぐためにMFA削除保護を有効にする必要はありません
S3-023: オブジェクトロック: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されることを防ぐためのオブジェクトロックは必要ありません。