CIS Controls v8 Implementierungsgruppe 1

AWS Audit Manager stellt ein vorgefertigtes Standard-Framework bereit, das Center for Internet Security (CIS) Controls v8 Implementierungsgruppe 1 unterstützt.

Anmerkung

Informationen zu CIS Controls v7.1 IG1 und dem AWS Audit Manager-Framework, das diesen Standard unterstützt, finden Sie unter CIS Controls v7.1 Implementierungsgruppe 1.

Was sind CIS Controls?

Bei den CIS Critical Security Controls (CIS Controls) handelt es sich um ein priorisiertes Maßnahmenpaket zur Abwehr der häufigsten Cyberangriffe auf Systeme und Netzwerke. Sie sind in zahlreichen rechtlichen, regulatorischen und politischen Rahmenwerken verankert und werden von diesen referenziert. CIS Controls v8 wurde verbessert, um mit modernen Systemen und Software Schritt zu halten. Die Umstellung auf Cloud-basiertes Computing, Virtualisierung, Mobilität, Outsourcing, Homeoffice und veränderte Taktiken der Angreifer waren der Grund für das Update. Dieses Update unterstützt die Sicherheit von Unternehmen, die sowohl vollständig auf Cloud- als auch auf Hybridumgebungen umsteigen.

Unterschied zwischen CIS Controls und CIS-Benchmarks

Bei CIS Controls handelt es sich um grundlegende Best Practices und Richtlinien, an die sich ein Unternehmen halten kann, um sich vor bekannten Cyberangriffsvektoren zu schützen. CIS-Benchmarks sind Best Practices-Richtlinien für Sicherheitsverfahren speziell für Herstellerprodukte. Die Einstellungen, die anhand eines Benchmarks angewendet werden, reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und schützen die verwendeten Systeme.

Beispiele

• CIS-Benchmarks sind präskriptiv. Sie beziehen sich in der Regel auf eine bestimmte Einstellung, die im Herstellerprodukt überprüft und festgelegt werden kann.

  • Beispiel: CIS Amazon Web Services Foundations Benchmark v1.2.0 – 1.13 stellt sicher, dass MFA für das Konto „Root-Benutzer“ aktiviert ist

  • Diese Empfehlung enthält eine Anleitung, wie dies überprüft werden kann und wie dies für das Root-Konto für die AWS-Umgebung eingerichtet werden kann.

• CIS Controls gelten für Ihr gesamtes Unternehmen und beziehen sich nicht nur auf ein Produkt eines Anbieters.

  • Beispiel: CIS Controls v7.1 – Sub-Control 4.5 verwenden die Multi-Faktor-Authentifizierung für alle administrativen Zugriffe

  • Diese Kontrolle beschreibt, was voraussichtlich in Ihrem Unternehmen angewendet wird. Es informiert Sie jedoch nicht, wie Sie es auf die Systeme und Workloads anwenden sollten, die Sie ausführen (unabhängig davon, wo sie sich befinden).

Verwenden Sie dieses Framework zur Unterstützung Ihrer Audit-Vorbereitung

Sie können das CIS Controls v8 IG1 Framework verwenden, um sich auf Audits vorzubereiten. Dieses Framework umfasst eine vorgefertigte Sammlung von Kontrollen mit Beschreibungen und Testverfahren. Diese Kontrollen sind gemäß den CIS-Anforderungen in Kontrollsätze eingeordnet. Sie können dieses Framework und seine Kontrollen auch anpassen, um interne Audits mit spezifischen Anforderungen zu unterstützen.

Wenn Sie das Framework als Vorlage verwenden, können Sie eine Bewertung durch den Audit Manager erstellen und mit der Erfassung von Beweisen beginnen, die für Ihr Audit relevant sind. Nachdem Sie eine Bewertung erstellt haben, beginnt Audit Manager mit der Bewertung Ihrer AWS-Ressourcen. Dies geschieht auf der Grundlage der Kontrollen, die im CIS Controls v8 Framework definiert sind. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die von Audit Manager erfassten Nachweise überprüfen. Sie können entweder diese Nachweisordner durchsuchen und auswählen, welche Nachweise Sie in Ihren Bewertungsbericht aufnehmen möchten. Oder, wenn Sie die Nachweissuche aktiviert haben, können Sie nach bestimmten Nachweisen suchen und diese im CSV-Format exportieren oder aus Ihren Suchergebnissen einen Bewertungsbericht erstellen. Anhand dieses Bewertungsberichts können Sie in jedem Fall nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.

Die Details des CIS Controls v8 Frameworks lauten wie folgt:

Name des Frameworks in AWS Audit Manager	Anzahl der automatisierten Kontrollen	Anzahl der manuellen Kontrollen	Anzahl der Kontrollsätze	AWS-Services im Umfang
CIS Controls v8 IG1	25	31	15	Amazon Elastic Compute Cloud AWS Config AWS Identity and Access Management AWS License Manager

Tipp

Um die AWS Config-Regeln zu überprüfen, die in diesem Standard-Framework als Datenquellenzuordnungen verwendet werden, laden Sie die Datei AuditManager_ConfigDataSourceMappings_CIS-Controls-v8-IG1.zip herunter.

Die Kontrollen in diesem Framework dienen nicht zur Überprüfung, ob Ihre Systeme mit CIS Controls konform sind. Darüber hinaus garantieren sie nicht, dass Sie ein CIS-Audit bestehen. AWS Audit Manager überprüft nicht automatisch Verfahrenskontrollen, die eine manuelle Beweissuche erfordern.

Sie finden das Framework unter der Registerkarte Standard-Frameworks von Framework-Bibliothek in Audit Manager.

Anweisungen zum Erstellen einer Bewertung mithilfe dieses Frameworks finden Sie unter Erstellen einer Bewertung.

Wenn Sie die Audit Manager-Konsole verwenden, um eine Bewertung anhand eines Standard-Frameworks zu erstellen, ist die Liste der AWS-Services im Umfang standardmäßig ausgewählt und kann nicht bearbeitet werden. Dies liegt daran, dass Audit Manager die Datenquellen und Services automatisch für Sie zuordnet und auswählt. Diese Auswahl erfolgt gemäß den Anforderungen von CIS Controls. Wenn Sie die Liste der Services bearbeiten müssen, die für dieses Framework gelten, können Sie dies mithilfe der API-Operationen CreateAssessment oder UpdateAssessment tun. Alternativ können Sie das Standard-Framework anpassen und dann eine Bewertung anhand des benutzerdefinierten Frameworks erstellen.

Anweisungen zum Anpassen dieses Frameworks an Ihre spezifischen Anforderungen finden Sie unter Anpassen eines vorhandenen Frameworks und Anpassen einer vorhandenen Kontrolle.

Weitere CIS-Quellen

• CIS Controls v8