Sicherheit

Beschreibung

Prüft, ob die Aufbewahrungsfrist für CloudWatch Amazon-Protokollgruppen auf 365 Tage oder eine andere angegebene Anzahl festgelegt ist.

Standardmäßig werden Protokolle unbegrenzt aufbewahrt und laufen nicht ab. Sie können jedoch die Aufbewahrungsrichtlinien für jede Protokollgruppe so anpassen, dass sie den Branchenvorschriften oder gesetzlichen Anforderungen für einen bestimmten Zeitraum entsprechen.

Sie können die Mindestaufbewahrungszeit und die Namen der Protokollgruppen mithilfe der MinRetentionTimeParameter LogGroupNamesund in Ihren AWS Config Regeln angeben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz186

Quelle

AWS Config Managed Rule: cw-loggroup-retention-period-check

Warnungskriterien

Gelb: Die Aufbewahrungsdauer einer CloudWatch Amazon-Protokollgruppe liegt unter der gewünschten Mindestanzahl von Tagen.

Empfohlene Aktion

Konfigurieren Sie eine Aufbewahrungsfrist von mehr als 365 Tagen für Ihre in Amazon CloudWatch Logs gespeicherten Protokolldaten, um die Compliance-Anforderungen zu erfüllen.

Weitere Informationen finden Sie unter Aufbewahrung von Protokolldaten ändern in CloudWatch Logs.

Weitere Ressourcen

Änderung der Aufbewahrung von CloudWatch Protokollen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die SQL Server-Versionen auf den Amazon-Elastic-Compute-Cloud(Amazon EC2)-Instances, die in den letzten 24 Stunden ausgeführt wurden. Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede SQL Server-Version wird 10 Jahre lang unterstützt. 5 Jahre Mainstream-Support und 5 Jahre verlängerter Support. Nach Ende des Supports erhält die SQL Server-Version keine regulären Sicherheitsupdates mehr. Das Ausführen von Anwendungen mit nicht unterstützten SQL Server-Versionen kann Sicherheits- oder Compliance-Risiken mit sich bringen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Qsdfp3A4L3

Warnungskriterien

Rot: Eine EC2-Instance weist eine SQL-Server-Version auf, die das Ende des Supports erreicht hat.
Gelb: Eine EC2-Instance weist eine SQL-Server-Version auf, die in 12 Monaten das Ende des Supports erreicht.

Empfohlene Aktion

Um Ihre SQL-Server-Workloads zu modernisieren, sollten Sie einen Faktorwechsel auf AWS Cloud -native Datenbanken wie Amazon Aurora in Erwägung ziehen. Weitere Informationen finden Sie unter Modernisieren Sie Windows-Workloads mit. AWS

Um auf eine vollständig verwaltete Datenbank umzusteigen, sollten Sie einen Plattformwechsel auf Amazon Relational Database Service (Amazon RDS) in Erwägung ziehen. Weitere Informationen finden Sie unter Amazon RDS für SQL Server.

Wenn Sie Ihren SQL Server auf Amazon EC2 aktualisieren, sollten Sie das Automation-Runbook verwenden, um die Aktualisierung zu vereinfachen. Weitere Informationen finden Sie in der AWS Systems Manager -Dokumentation.

Wenn Sie Ihren SQL Server auf Amazon EC2 nicht aktualisieren können, ziehen Sie das End-of-Support Migration Program for Windows Server (EMP) in Erwägung. Weitere Informationen finden Sie auf der EMP-Website.

Weitere Ressourcen

Berichtsspalten

Status
Region
Instance-ID
SQL Server-Version
Supportzyklus
Ende des Supports
Zeitpunkt der letzten Aktualisierung

Beschreibung

Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede Windows-Server-Version bietet 10 Jahre Support. Dies umfasst 5 Jahre Mainstream-Support und 5 Jahre erweiterten Support. Nach dem Ende des Supports erhält die Windows-Server-Version keine regelmäßigen Sicherheitsupdates mehr. Wenn Sie Anwendungen mit nicht unterstützten Windows-Server-Versionen ausführen, riskieren Sie die Sicherheit oder Konformität dieser Anwendungen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Qsdfp3A4L4

Warnungskriterien

Rot: Eine EC2-Instance verfügt über eine Windows-Server-Version, die das Ende des Supports erreicht hat (Windows Server 2003, 2003 R2, 2008 und 2008 R2).
Gelb: Eine EC2-Instance verfügt über eine Windows-Server-Version, die in weniger als 18 Monaten das Ende des Supports erreicht (Windows Server 2012 und 2012 R2).

Empfohlene Aktion

Um Ihre Windows Server-Workloads zu modernisieren, sollten Sie die verschiedenen Optionen in Betracht ziehen, die unter Windows-Workloads modernisieren mit verfügbar sind. AWS

Um Ihre Windows-Server-Workloads für die Ausführung auf neueren Versionen von Windows Server zu aktualisieren, können Sie ein Automatisierungs-Runbook verwenden. Weitere Informationen finden Sie in der AWS -Systems-Manager-Dokumentation.

Bitte befolgen Sie die folgenden Schritte:

a. Aktualisieren Sie die Windows Server-Version
b. Nach dem Upgrade müssen Sie das System anhalten und wieder starten
c. Wenn Sie EC2Config verwenden, migrieren Sie bitte zu EC2Launch

Berichtsspalten

Status
Region
Instance-ID
Windows-Server-Version
Supportzyklus
Ende des Supports
Zeitpunkt der letzten Aktualisierung

Beschreibung

Mit dieser Überprüfung werden Sie benachrichtigt, wenn die Standardunterstützung für die Versionen kurz bevorsteht oder das Ende bereits erreicht hat. Es ist wichtig, Maßnahmen zu ergreifen — entweder durch eine Migration auf das nächste LTS oder durch ein Upgrade auf Ubuntu Pro. Nach dem Ende des Supports erhalten Ihre 18.04 LTS-Computer keine Sicherheitsupdates. Mit einem Ubuntu Pro-Abonnement kann Ihre Ubuntu 18.04 LTS-Bereitstellung bis 2028 Expanded Security Maintenance (ESM) erhalten. Sicherheitslücken, die noch nicht behoben wurden, machen Ihre Systeme anfällig für Hacker und die Gefahr schwerwiegender Sicherheitslücken.

Prüf-ID

c1dfprch15

Warnungskriterien

Rot: Eine Amazon EC2 EC2-Instance hat eine Ubuntu-Version, die das Ende der Standardunterstützung erreicht hat (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS und 18.04.6 LTS).

Gelb: Eine Amazon EC2 EC2-Instance hat eine Ubuntu-Version, deren Standardunterstützung in weniger als 6 Monaten ausläuft (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS und 20.04.6 LTS).

Grün: Alle Amazon EC2 EC2-Instances sind konform.

Empfohlene Aktion

Um die Ubuntu 18.04 LTS-Instances auf eine unterstützte LTS-Version zu aktualisieren, folgen Sie bitte den in diesem Artikel genannten Schritten. Um die Ubuntu 18.04 LTS-Instanzen auf Ubuntu Pro zu aktualisieren, besuchen Sie die AWS License Manager Konsole und folgen Sie den im Benutzerhandbuch genannten Schritten.AWS License Manager Sie können sich auch den Ubuntu-Blog ansehen, der eine schrittweise Demo zum Upgrade von Ubuntu-Instanzen auf Ubuntu Pro zeigt.

Weitere Ressourcen

Informationen zu den Preisen erhalten Sie unter AWS Support.

Berichtsspalten

Status
Region
Ubuntu LTS-Version
Voraussichtliches Ende des Support
Instance-ID
Supportzyklus
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob das Amazon EFS-Dateisystem data-in-transit verschlüsselt eingehängt ist. AWS empfiehlt Kunden, data-in-transit Verschlüsselung für alle Datenflüsse zu verwenden, um Daten vor versehentlicher Offenlegung oder unbefugtem Zugriff zu schützen. Amazon EFS empfiehlt Kunden, die Mount-Einstellung '-o tls' mit dem Amazon EFS-Mount-Helper zu verwenden, um Daten während der Übertragung mit TLS v1.2 zu verschlüsseln.

Prüf-ID

c1dfpnchv1

Warnungskriterien

Gelb: Ein oder mehrere NFS-Clients für Ihr Amazon EFS-Dateisystem verwenden nicht die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.

Grün: Alle NFS-Clients für Ihr Amazon EFS-Dateisystem verwenden die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.

Empfohlene Aktion

Um die data-in-transit Verschlüsselungsfunktion von Amazon EFS nutzen zu können, empfehlen wir, Ihr Dateisystem mithilfe des Amazon EFS-Mount-Helpers und der empfohlenen Mount-Einstellungen erneut bereitzustellen.

Anmerkung

Einige Linux-Distributionen enthalten standardmäßig keine Version von Stunnel, die TLS-Funktionen unterstützt. Wenn Sie eine Linux-Distribution verwenden, die nicht unterstützt wird (siehe unterstützte Distributionen hier), empfehlen wir, sie vor dem erneuten Mounten mit der empfohlenen Mount-Einstellung zu aktualisieren.

Weitere Ressourcen

Verschlüsselung von Daten während der Übertragung

Berichtsspalten

Status
Region
EFS-Dateisystem-ID
AZs mit unverschlüsselten Verbindungen
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die Berechtigungseinstellungen für Ihre Amazon Elastic Block Store (Amazon EBS) -Volume-Snapshots und warnt Sie, wenn Snapshots öffentlich zugänglich sind.

Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Wenn Sie einen Snapshot nur für bestimmte Benutzer oder Konten freigeben möchten, markieren Sie den Snapshot als privat. Geben Sie dann den Benutzer oder die Konten an, für die Sie die Snapshot-Daten freigeben möchten. Bitte beachten Sie, dass Ihre öffentlichen Schnappschüsse nicht öffentlich zugänglich sind und nicht in den Ergebnissen dieser Prüfung angezeigt werden, wenn Sie die Option „Öffentlichen Zugriff blockieren“ im Modus „Alle Freigaben blockieren“ aktiviert haben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.

Prüf-ID

ePs02jT06w

Warnungskriterien

Rot: Der EBS-Volume-Snapshot ist öffentlich zugänglich.

Empfohlene Aktion

Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Teilen eines Amazon-EBS-Snapshots. Verwenden Sie Block Public Access for EBS Snapshots, um die Einstellungen zu steuern, die den öffentlichen Zugriff auf Ihre Daten ermöglichen. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Um die Berechtigungen für Ihre Snapshots direkt zu ändern, können Sie ein Runbook in der AWS Systems Manager Konsole verwenden. Weitere Informationen finden Sie unter AWSSupport-ModifyEBSSnapshotPermission.

Weitere Ressourcen

Amazon-EBS-Snapshots

Berichtsspalten

Status
Region
Volume-ID
Snapshot-ID
Beschreibung

Beschreibung

Amazon RDS unterstützt Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit Amazon RDS-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.

Wenn die Verschlüsselung beim Erstellen eines Aurora-DB-Clusters nicht aktiviert ist, müssen Sie einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen aus.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt005

Warnungskriterien

Rot: Für Amazon RDS Aurora-Ressourcen ist keine Verschlüsselung aktiviert.

Empfohlene Aktion

Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihren DB-Cluster.

Weitere Ressourcen

Sie können die Verschlüsselung beim Erstellen einer DB-Instance aktivieren oder eine Problemumgehung verwenden, um die Verschlüsselung auf einer aktiven DB-Instance zu aktivieren. Sie können einen entschlüsselten DB-Cluster nicht in einen verschlüsselten DB-Cluster umwandeln. Sie können jedoch einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen. Wenn Sie aus dem entschlüsselten Snapshot wiederherstellen, müssen Sie einen AWS KMS Schlüssel angeben.

Weitere Informationen finden Sie unter Verschlüsseln von Amazon Aurora-Ressourcen.

Berichtsspalten

Status
Region
Eine Ressource
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Auf Ihren Datenbankressourcen wird nicht die neueste Nebenversion der DB-Engine ausgeführt. Die neueste Nebenversion enthält die neuesten Sicherheitsupdates und andere Verbesserungen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen aus.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt003

Warnungskriterien

Rot: Auf Amazon RDS-Ressourcen wird nicht die neueste kleinere DB-Engine-Version ausgeführt.

Empfohlene Aktion

Führen Sie ein Upgrade auf die neueste Engine-Version durch.

Weitere Ressourcen

Wir empfehlen, dass Sie Ihre Datenbank mit der neuesten DB-Engine-Nebenversion verwalten, da diese Version die neuesten Sicherheits- und Funktionskorrekturen enthält. Die Upgrades der DB-Engine-Nebenversionen enthalten nur die Änderungen, die mit früheren Nebenversionen derselben Hauptversion der DB-Engine abwärtskompatibel sind.

Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.

Berichtsspalten

Status
Region
Ressource
Name des Motors
Aktuelle Motorversion
Empfohlener Wert
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft die Berechtigungseinstellungen für Ihre Amazon Relational Database Service (Amazon RDS) DB-Snapshots und warnt Sie, wenn irgendwelche Snapshots als öffentlich markiert sind.

Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Wenn Sie einen Snapshot nur für bestimmte Benutzer oder Konten freigeben möchten, markieren Sie den Snapshot als privat. Geben Sie dann den Benutzer oder die Konten an, für die Sie die Snapshot-Daten freigeben möchten.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.

Prüf-ID

rSs93HQwa1

Warnungskriterien

Rot: Der Amazon-RDS-Snapshot ist als öffentlich markiert.

Empfohlene Aktion

Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Freigeben eines DB-Snapshots oder DB-Cluster-Snapshots. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Um die Berechtigungen für Ihre Snapshots direkt zu ändern, können Sie ein Runbook in der AWS Systems Manager Konsole verwenden. Weitere Informationen finden Sie unter AWSSupport-ModifyRDSSnapshotPermission.

Weitere Ressourcen

Sichern und Wiederherstellen einer Amazon-RDS-DB-Instance

Berichtsspalten

Status
Region
DB-Instance oder Cluster-ID
Snapshot-ID

Beschreibung

Prüft Sicherheitsgruppenkonfigurationen für Amazon Relational Database Service (Amazon RDS) und warnt, wenn eine Sicherheitsgruppenregel einen zu freizügigen Zugriff auf Ihre Datenbank gewährt. Die empfohlene Konfiguration für eine Sicherheitsgruppenregel besteht darin, den Zugriff nur von bestimmten Amazon Elastic Compute Cloud (Amazon EC2) Sicherheitsgruppen oder von einer bestimmten IP-Adresse zuzulassen.

Prüf-ID

nNauJisYIT

Warnungskriterien

Gelb: Eine DB-Sicherheitsgruppenregel verweist auf eine Amazon-EC2-Sicherheitsgruppe, die globalen Zugriff auf einen dieser Ports gewährt: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Gelb: Eine DB-Sicherheitsgruppenregel gewährt Zugriff auf mehr als eine einzelne IP-Adresse (das CIDR-Regelsuffix ist nicht /0 oder /32).
Rot: Eine DB-Sicherheitsgruppenregel gewährt globalen Zugriff (das CIDR-Regelsuffix ist /0).

Empfohlene Aktion

Überprüfen Sie die Sicherheitsgruppenregeln und beschränken Sie den Zugriff auf autorisierte IP-Adressen oder IP-Bereiche. Um eine Sicherheitsgruppe zu bearbeiten, verwenden Sie die SecurityGroupIngressAuthorizeDB-API oder die. AWS Management Console Weitere Informationen finden Sie unter Arbeiten mit DB-Sicherheitsgruppen.

Weitere Ressourcen

Berichtsspalten

Status
Region
RDS-Sicherheitsgruppenname
Regel für eingehenden Datenverkehr
Grund

Beschreibung

Amazon RDS unterstützt Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit Amazon RDS-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.

Wenn die Verschlüsselung beim Erstellen einer DB-Instance nicht aktiviert ist, müssen Sie eine verschlüsselte Kopie des entschlüsselten Snapshots wiederherstellen, bevor Sie die Verschlüsselung aktivieren.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen aus.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt006

Warnungskriterien

Rot: Für Amazon RDS-Ressourcen ist keine Verschlüsselung aktiviert.

Empfohlene Aktion

Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihre DB-Instance.

Weitere Ressourcen

Sie können eine DB-Instance nur verschlüsseln, wenn Sie die DB-Instance erstellen. Um eine bestehende aktive DB-Instance zu verschlüsseln:

Erstellen Sie eine verschlüsselte Kopie der ursprünglichen DB-Instance

Erstellen Sie einen Snapshot Ihrer DB-Instance.
Erstellen Sie eine verschlüsselte Kopie des in Schritt 1 erstellten Snapshots.
Stellen Sie eine DB-Instance aus dem verschlüsselten Snapshot wieder her.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Berichtsspalten

Status
Region
Eine Ressource
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die Amazon Route 53 Hosted Zones mit CNAME-Einträgen, die direkt auf Amazon S3 S3-Bucket-Hostnamen verweisen, und warnt, wenn Ihr CNAME nicht mit Ihrem S3-Bucket-Namen übereinstimmt.

Prüf-ID

c1ng44jvbm

Warnungskriterien

Rot: Amazon Route 53 Hosted Zone hat CNAME-Einträge, die auf nicht übereinstimmende S3-Bucket-Hostnamen hinweisen.

Grün: In Ihrer Amazon Route 53 Hosted Zone wurden keine nicht übereinstimmenden CNAME-Einträge gefunden.

Empfohlene Aktion

Wenn Sie CNAME-Einträge auf S3-Bucket-Hostnamen verweisen, müssen Sie sicherstellen, dass für jeden von Ihnen konfigurierten CNAME- oder Alias-Datensatz ein passender Bucket vorhanden ist. Auf diese Weise vermeiden Sie das Risiko, dass Ihre CNAME-Einträge gefälscht werden. Sie verhindern auch, dass unbefugte AWS Benutzer fehlerhafte oder bösartige Webinhalte mit Ihrer Domain hosten.

Um zu vermeiden, dass CNAME-Einträge direkt auf S3-Bucket-Hostnamen verweisen, sollten Sie die Origin Access Control (OAC) verwenden, um über Amazon auf Ihre S3-Bucket-Webressourcen zuzugreifen. CloudFront

Weitere Informationen zur Verknüpfung von CNAME mit einem Amazon S3 S3-Bucket-Hostnamen finden Sie unter Amazon S3 S3-URLs mit CNAME-Einträgen anpassen.

Weitere Ressourcen

Berichtsspalten

Status
ID der gehosteten Zone
ARN für gehostete Zonen
Passende CNAME-Einträge
CNAME-Einträge stimmen nicht überein
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft für jeden MX-Ressourcendatensatz, ob der TXT- oder SPF-Ressourcendeintragsatz einen gültigen SPF-Eintrag enthält. Der Eintrag muss mit “v=spf1„ beginnen. Der SPF-Eintrag gibt die Server an, die berechtigt sind, E-Mails für Ihre Domain zu versenden, was dazu beiträgt, Spoofing von E-Mail-Adressen zu erkennen und zu verhindern und Spam zu reduzieren. Route 53 empfiehlt die Verwendung eines TXT-Eintrags anstelle eines SPF-Eintrags. Trusted Advisor meldet dieses Häkchen grün, solange jeder MX-Ressourcendatensatz mindestens einen SPF- oder TXT-Eintrag hat.

Prüf-ID

c9D319e7sG

Warnungskriterien

Gelb: Ein MX-Ressourcendatensatz hat keinen TXT- oder SPF-Ressourcendatensatz, der einen gültigen SPF-Wert enthält.

Empfohlene Aktion

Erstellen Sie für jeden MX-Ressourcendatensatz einen TXT-Ressourcendatensatz, der einen gültigen SPF-Eintrag enthält. Weitere Informationen finden Sie unter Sender Policy Framework: SPF Record Syntax (Sender Policy Framework: SPF-Datensatz-Syntax) und Erstellen von Ressourcendatensätzen mithilfe der Amazon-Route-53-Konsole.

Weitere Ressourcen

Berichtsspalten

Name der gehosteten Zone
ID der gehosteten Zone
Name des Ressourcendatensatzes
Status

Beschreibung

Überprüft Buckets in Amazon Simple Storage Service (Amazon S3), die über offene Zugriffsberechtigungen verfügen oder die jedem authentifizierten Benutzer AWS Zugriff gewähren.

Diese Prüfung untersucht explizite Bucket-Berechtigungen sowie Bucket-Richtlinien, die diese Berechtigungen außer Kraft setzen können. Es wird nicht empfohlen, allen Benutzern Listenzugriffsrechte für einen Amazon S3-Bucket zu gewähren. Diese Berechtigungen können dazu führen, dass unbeabsichtigte Benutzer sehr häufig Objekte in den Bucket aufnehmen, was zu höheren Gebühren als erwartet führen kann. Berechtigungen, die jedem Zugriff auf den Upload und Löschen gewähren, können zu Sicherheitslücken in Ihrem Bucket führen.

Prüf-ID

Pfx0RwqBli

Warnungskriterien

Gelb: Die Bucket-ACL erlaubt das Auflisten für alle oder alle authentifizierten AWS -Benutzer.
Gelb: Eine Bucket-Richtlinie ermöglicht jede Art von offenem Zugriff.
Gelb: Die Bucket-Richtlinie enthält Anweisungen, die öffentlichen Zugriff gewähren. Die Einstellung Block public and cross-account access to buckets that have public policies (Öffentlichen und kontoübergreifenden Zugriff auf Buckets mit öffentlichen Richtlinien blockieren) ist aktiviert, sodass nur autorisierte Benutzer dieses Kontos Zugriff haben, bis die öffentlichen Anweisungen entfernt werden.
Gelb: ist Trusted Advisor nicht berechtigt, die Richtlinie zu überprüfen, oder die Richtlinie konnte aus anderen Gründen nicht bewertet werden.
Rot: Die Bucket-ACL erlaubt das Hochladen und Löschen für alle oder alle authentifizierten AWS -Benutzer.

Empfohlene Aktion

Wenn ein Bucket den offenen Zugriff zulässt, müssen Sie überprüfen, ob der offene Zugriff wirklich erforderlich ist. Falls nicht, aktualisieren Sie die Bucket-Berechtigungen, um den Zugriff auf den Eigentümer oder bestimmte Benutzer einzuschränken. Verwenden Sie Amazon S3 Block Public Access, um die Einstellungen für öffentlichen Zugriff auf Ihre Daten zu steuern. Weitere Informationen finden Sie unter Einrichten der Zugriffsberechtigungen für Bucket und Objekt.

Weitere Ressourcen

Verwaltung der Zugriffsberechtigungen für Ihre Amazon-S3-Ressourcen

Berichtsspalten

Status
Name der Region
Regionen-API-Parameter
Bucket-Name
ACL erlaubt Auflisten
ACL erlaubt Hochladen/Löschen
Richtlinie erlaubt Zugriff

Beschreibung

Überprüft, ob bei Ihren VPC-Peering-Verbindungen die DNS-Auflösung sowohl für die Anforderer-VPCs als auch die Annahme-VPCs aktiviert ist.

Die DNS-Auflösung für eine VPC-Peering-Verbindung ermöglicht die Auflösung von öffentlichen DNS-Hostnamen in private IPv4-Adressen, wenn diese von Ihrem VPC aus abgefragt werden. Dies ermöglicht die Verwendung von DNS-Namen für die Kommunikation zwischen Ressourcen in durch Peering verbundenen VPCs. Die DNS-Auflösung in Ihren VPC-Peering-Verbindungen macht die Anwendungsentwicklung und -verwaltung einfacher und weniger fehleranfällig und stellt sicher, dass Ressourcen immer privat über die VPC-Peering-Verbindung kommunizieren.

Sie können die vpcIds mithilfe der VPCIDS-Parameter in Ihren Regeln angeben. AWS Config

Weitere Informationen finden Sie unter Aktivieren einer DNS-Auflösung für eine VPC-Peering-Verbindung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz124

Quelle

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Warnungskriterien

Gelb: Die DNS-Auflösung ist sowohl für die Anforderer-VPCs als auch die Annahme-VPCs in einer VPC-Peering-Verbindung nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die DNS-Auflösung für Ihre VPC-Peering-Verbindungen.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob AWS Backup Tresore über eine zugeordnete ressourcenbasierte Richtlinie verfügen, die das Löschen von Wiederherstellungspunkten verhindert.

Die ressourcenbasierte Richtlinie verhindert das unerwartete Löschen von Wiederherstellungspunkten, wodurch Sie eine Zugriffskontrolle mit den geringsten Berechtigungen auf Ihre Sicherungsdaten durchsetzen können.

Sie können die AWS Identity and Access Management ARNs, die die Regel nicht einchecken soll, im principalArnListParameter Ihrer Regeln angeben. AWS Config

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz152

Quelle

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Warnungskriterien

Gelb: Es gibt AWS Backup Tresore, für die es keine ressourcenbasierte Richtlinie gibt, um das Löschen von Wiederherstellungspunkten zu verhindern.

Empfohlene Aktion

Erstellen Sie ressourcenbasierte Richtlinien für Ihre AWS Backup Tresore, um das unerwartete Löschen von Wiederherstellungspunkten zu verhindern.

Die Richtlinie muss eine „Deny“ -Anweisung mit den Berechtigungen backup:DeleteRecoveryPoint, backup: UpdateRecoveryPointLifecycle und backup: enthalten. PutBackupVaultAccessPolicy

Weitere Informationen finden Sie unter Festlegen von Zugriffsrichtlinien für Sicherungstresore.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft Ihre Verwendung von AWS CloudTrail. CloudTrail bietet einen besseren Einblick in Ihre Aktivitäten, AWS-Konto indem Informationen über AWS API-Aufrufe aufgezeichnet werden, die auf dem Konto getätigt wurden. Anhand dieser Protokolle können Sie beispielsweise feststellen, welche Aktionen ein bestimmter Benutzer während eines bestimmten Zeitraums durchgeführt hat oder welche Benutzer während eines bestimmten Zeitraums Aktionen auf einer bestimmten Ressource durchgeführt haben.

Da CloudTrail Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket übermittelt CloudTrail werden, sind Schreibberechtigungen für den Bucket erforderlich. Wenn ein Trail für alle Regionen gilt (die Standardeinstellung beim Erstellen eines neuen Trails), wird der Trail mehrfach im Trusted Advisor -Bericht angezeigt.

Prüf-ID

vjafUGJ9H0

Warnungskriterien

Gelb: CloudTrail meldet Fehler bei der Protokollzustellung für einen Trail.
Rot: Für eine Region wurde kein Trail erstellt oder die Protokollierung ist für einen Trail deaktiviert.

Empfohlene Aktion

Um einen Trail zu erstellen und die Protokollierung von der Konsole aus zu starten, rufen Sie die AWS CloudTrail -Konsole auf.

Informationen zur Protokollierung finden Sie unter Anhalten und Starten der Protokollierung für einen Trail.

Wenn Sie Fehler bei der Protokollzustellung erhalten, stellen Sie sicher, dass der Bucket vorhanden ist und dass die erforderliche Richtlinie dem Bucket angefügt ist. Weitere Informationen finden Sie unter Amazon-S3-Bucket-Richtlinien.

Weitere Ressourcen

Berichtsspalten

Status
Region
Trail-Name
Status der Protokollierung
Bucket-Name
Datum der letzten Bereitstellung

Beschreibung

Sucht nach Lambda-Funktionen, deren $LATEST-Version so konfiguriert ist, dass sie eine Laufzeit verwendet, die bald veraltet ist oder veraltet ist. Veraltete Laufzeiten kommen nicht für Sicherheitsupdates oder technischen Support in Frage

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Veröffentlichte Versionen der Lambda-Funktion sind unveränderlich, was bedeutet, dass sie aufgerufen, aber nicht aktualisiert werden können. Nur die $LATEST-Version der Lambda-Funktion kann aktualisiert werden. Weitere Informationen finden Sie unter Versionen der Lambda-Funktion.

Prüf-ID

L4dfs2Q4C5

Warnungskriterien

Rot: Die $LATEST-Version der Funktion ist so konfiguriert, dass sie eine Laufzeit verwendet, die bereits veraltet ist.
Gelb: Die $LATEST-Version der Funktion läuft auf einer Laufzeit, die innerhalb von 180 Tagen veraltet sein wird.

Empfohlene Aktion

Wenn Ihre Funktionen mit einer Laufzeit ausgeführt werden, die bald veraltet ist, sollten Sie sich auf die Migration zu einer unterstützten Laufzeit vorbereiten. Weitere Informationen finden Sie in der Richtlinie für den Laufzeitablauf.

Wir empfehlen Ihnen, frühere Funktionsversionen zu löschen, die Sie nicht mehr verwenden.

Weitere Ressourcen

Lambda-Laufzeiten

Berichtsspalten

Status
Region
Funktion-ARN
Laufzeit
Tage bis zur Veraltung
Datum der Veraltung
Durchschnittliche tägliche Aufrufe
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft auf Probleme mit hohem Risiko (HRI) für Ihre Workloads hinsichtlich der Sicherheit. Diese Prüfung basiert auf Ihren AWS-Well Architected-Beurteilungen. Ihre Prüfergebnisse hängen davon ab, ob Sie die Workload-Bewertung mit AWS Well-Architected durchgeführt haben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Wxdfp4B1L3

Warnungskriterien

Rot: In der Sicherheitssäule von AWS Well-Architected wurde mindestens ein aktives Problem mit hohem Risiko identifiziert.
Grün: In der Sicherheitssäule von AWS Well-Architected wurden keine aktiven Probleme mit hohem Risiko festgestellt.

Empfohlene Aktion

AWS Well-Architected hat bei Ihrer Workload-Evaluierung Probleme mit hohem Risiko erkannt. Diese Probleme bieten Möglichkeiten, Risiken zu reduzieren und Geld zu sparen. Melden Sie sich bei AWS Well-Architected an, um Ihre Antworten zu überprüfen und Maßnahmen zur Lösung der aktiven Probleme zu ergreifen.

Berichtsspalten

Status
Region
Workload-ARN
Name der Workload
Name des Reviewers
Workload-Typ
Startdatum der Workload
Datum der letzten Änderung der Workload
Anzahl der identifizierten HRI für die Sicherheit
Anzahl der behobenen HRI für die Sicherheit
Anzahl der für die Sicherheit beantworteten Fragen
Gesamtzahl der Fragen hinsichtlich der Sicherheit
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die SSL-Zertifikate im IAM-Zertifikatsspeicher auf CloudFront alternative Domainnamen. Diese Prüfung warnt Sie, wenn ein Zertifikat abgelaufen ist, in Kürze abläuft, eine veraltete Verschlüsselung verwendet oder nicht korrekt für die Verteilung konfiguriert ist.

Wenn ein benutzerdefiniertes Zertifikat für einen alternativen Domainnamen abläuft, zeigen Browser, die Ihre CloudFront Inhalte anzeigen, möglicherweise eine Warnmeldung über die Sicherheit Ihrer Website an. Zertifikate, die mit dem SHA-1-Hashing-Algorithmus verschlüsselt sind, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt.

Ein Zertifikat muss einen Domainnamen enthalten, der entweder mit dem Ursprungsdomainnamen oder dem Domainnamen im Host-Header einer Viewer-Anforderung übereinstimmt. Wenn es nicht übereinstimmt, wird dem Benutzer der HTTP-Statuscode 502 (schlechtes Gateway) CloudFront zurückgegeben. Weitere Informationen finden Sie unter Verwenden alternativer Domainnamen in Verbindung mit HTTPS.

Prüf-ID

N425c450f2

Warnungskriterien

Rot: Ein benutzerdefiniertes SSL-Zertifikat ist abgelaufen.
Gelb: Ein benutzerdefiniertes SSL-Zertifikat läuft in den nächsten sieben Tagen ab.
Gelb: Ein benutzerdefiniertes SSL-Zertifikat wurde mit dem SHA-1-Hashing-Algorithmus verschlüsselt.
Gelb: Mindestens ein alternativer Domainname in der Verteilung wird entweder im Feld Common Name (Allgemeiner Name) oder im Feld Subject Alternative Names (Alternative Subjektnamen) des benutzerdefinierten SSL-Zertifikats nicht angezeigt.

Empfohlene Aktion

Erneuern Sie ein abgelaufenes Zertifikat oder ein Zertifikat, das bald abläuft.

Ersetzen Sie ein Zertifikat, das mithilfe des SHA-1-Hashing-Algorithmus verschlüsselt wurde, durch ein Zertifikat, das mithilfe des SHA-256-Hashing-Algorithmus verschlüsselt wurde.

Ersetzen Sie das Zertifikat durch ein Zertifikat, das die entsprechenden Werte im Feld Common Name (Allgemeiner Name) oder im Feld Subject Alternative Domain Names (Alternative Domainnamen des Subjekts) enthält.

Weitere Ressourcen

Zugriff auf Ihre Objekte unter Verwendung einer HTTPS-Verbindung

Berichtsspalten

Status
Verteilungs-ID
Verteilungs-Domainname
Name des Zertifikats
Grund

Beschreibung

Überprüft Ihren Ursprungsserver auf SSL-Zertifikate, die abgelaufen sind, demnächst ablaufen, fehlen oder eine veraltete Verschlüsselung verwenden. Wenn ein Zertifikat eines dieser Probleme aufweist, CloudFront reagiert es auf Anfragen nach Ihren Inhalten mit dem HTTP-Statuscode 502, Bad Gateway.

Zertifikate, die mit dem SHA-1-Hashing-Algorithmus verschlüsselt wurden, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt. Abhängig von der Anzahl der SSL-Zertifikate, die Sie mit Ihren CloudFront Distributionen verknüpft haben, kann diese Prüfung Ihre Rechnung bei Ihrem Webhosting-Anbieter um einige Cent pro Monat erhöhen, z. B. AWS wenn Sie Amazon EC2 oder Elastic Load Balancing als Quelle für Ihre CloudFront Distribution verwenden. Bei dieser Prüfung werden die Ursprungszertifikatskette und die Zertifizierungsstellen nicht überprüft. Sie können diese in Ihrer CloudFront Konfiguration überprüfen.

Prüf-ID

N430c450f2

Warnungskriterien

Rot: Ein SSL-Zertifikat für Ihren Ursprung ist abgelaufen oder fehlt.
Gelb: Ein SSL-Zertifikat für Ihren Ursprung läuft in den nächsten dreißig Tagen ab.
Gelb: Ein SSL-Zertifikat für Ihren Ursprung wurde mit dem SHA-1-Hashing-Algorithmus verschlüsselt.
Gelb: Ein SSL-Zertifikat für Ihren Ursprung kann nicht gefunden werden. Die Verbindung ist möglicherweise aufgrund eines Timeouts oder anderer HTTPS-Verbindungsprobleme fehlgeschlagen.

Empfohlene Aktion

Erneuern Sie das Zertifikat für Ihren Ursprung, wenn es abgelaufen ist oder bald abläuft.

Fügen Sie ein Zertifikat hinzu, wenn keines vorhanden ist.

Ersetzen Sie ein Zertifikat, das mithilfe des SHA-1-Hashing-Algorithmus verschlüsselt wurde, durch ein Zertifikat, das mithilfe des SHA-256-Hashing-Algorithmus verschlüsselt wurde.

Weitere Ressourcen

Verwenden alternativer Domainnamen in Verbindung mit HTTPS

Berichtsspalten

Status
Verteilungs-ID
Verteilungs-Domänenname
Urspung
Grund

Beschreibung

Sucht nach Load Balancern mit Listenern, die keine empfohlenen Sicherheitskonfigurationen für verschlüsselte Kommunikation verwenden. AWS empfiehlt die Verwendung eines sicheren Protokolls (HTTPS oder SSL), up-to-date Sicherheitsrichtlinien sowie sicherer Verschlüsselungen und Protokolle.

Wenn Sie ein sicheres Protokoll für eine Front-End-Verbindung (Client zu Load Balancer) verwenden, werden die Anfragen zwischen Ihren Clients und dem Load Balancer verschlüsselt, was eine sicherere Umgebung schafft. Elastic Load Balancing bietet vordefinierte Sicherheitsrichtlinien mit Chiffren und Protokollen, die den bewährten AWS Sicherheitsmethoden entsprechen. Neue Versionen der vordefinierten Richtlinien werden veröffentlicht, sobald neue Konfigurationen verfügbar sind.

Prüf-ID

a2sEc6ILx

Warnungskriterien

Gelb: Ein Load Balancer hat keinen Listener, der ein sicheres Protokoll (HTTPS oder SSL) verwendet.
Gelb: Ein Load-Balancer-Listener verwendet eine veraltete vordefinierte SSL-Sicherheitsrichtlinie.
Gelb: Ein Load-Balancer-Listener verwendet eine Verschlüsselung oder ein Protokoll, die bzw. das nicht empfohlen wird.
Rot: Ein Load-Balancer-Listener verwendet eine unsichere Verschlüsselung oder ein unsicheres Protokoll.

Empfohlene Aktion

Wenn der Datenverkehr zu Ihrem Load Balancer sicher sein muss, verwenden Sie entweder das HTTPS- oder das SSL-Protokoll für die Frontend-Verbindung.

Aktualisieren Sie Ihren Load Balancer auf die neueste Version der vordefinierten SSL-Sicherheitsrichtlinie.

Verwenden Sie nur die empfohlenen Verschlüsselungsverfahren und Protokolle.

Weitere Informationen finden Sie unter Listener Configurations for Elastic Load Balancing (Listener-Konfigurationen für Elastic Load Balancing).

Weitere Ressourcen

Kurzanleitung zu Listener-Konfigurationen
Update SSL Negotiation Configuration of Your Load Balancer (Aktualisieren der SSL-Aushandlungskonfiguration Ihres Load Balancers)
SSL Negotiation Configurations for Elastic Load Balancing (SSL-Aushandlungskonfigurationen für Elastic Load Balancing)
SSL Security Policy Table (Tabelle der SSL-Sicherheitsrichtlinien)

Berichtsspalten

Status
Region
Load-Balancer-Name
Load-Balancer-Port
Grund

Beschreibung

Prüft auf Load Balancer, die mit einer fehlenden Sicherheitsgruppe konfiguriert sind, oder auf eine Sicherheitsgruppe, die den Zugriff auf Ports erlaubt, die nicht für den Load Balancer konfiguriert sind.

Wenn eine Sicherheitsgruppe, die mit einem Load Balancer verbunden ist, gelöscht wird, funktioniert der Load Balancer nicht wie erwartet. Wenn eine Sicherheitsgruppe den Zugriff auf Ports zulässt, die nicht für den Load Balancer konfiguriert sind, steigt das Risiko von Datenverlusten oder bösartigen Angriffen.

Prüf-ID

xSqX82fQu

Warnungskriterien

Gelb: Die eingehenden Regeln einer Amazon-VPC-Sicherheitsgruppe, die mit einem Load Balancer verknüpft ist, ermöglichen den Zugriff auf Ports, die nicht in der Listener-Konfiguration des Load Balancers definiert sind.
Rot: Eine mit einem Load Balancer verknüpfte Sicherheitsgruppe ist nicht vorhanden.

Empfohlene Aktion

Konfigurieren Sie die Sicherheitsgruppenregeln so, dass der Zugriff auf die Ports und Protokolle beschränkt wird, die in der Listener-Konfiguration des Load Balancers festgelegt sind, sowie auf das ICMP-Protokoll zur Unterstützung von Path MTU Discovery. Weitere Informationen finden Sie unter Listener für Ihren Classic Load Balancer und Sicherheitsgruppen für Load Balancer in einer VPC.

Fehlt eine Sicherheitsgruppe, wenden Sie eine neue Sicherheitsgruppe auf den Load Balancer an. Erstellen Sie Sicherheitsgruppenregeln, die den Zugriff auf die Ports und Protokolle beschränken, die in der Listener-Konfiguration des Load Balancers festgelegt sind. Weitere Informationen finden Sie unter Sicherheitsgruppen für Load Balancer in einer VPC.

Weitere Ressourcen

Berichtsspalten

Status
Region
Load-Balancer-Name
Sicherheitsgruppen-IDs
Grund

Beschreibung

Prüft beliebte Code-Repositories auf Zugangsschlüssel, die öffentlich zugänglich gemacht wurden, und auf unregelmäßige Amazon Elastic Compute Cloud (Amazon EC2)-Nutzung, die das Ergebnis eines kompromittierten Zugangsschlüssels sein könnte.

Ein Zugangsschlüssel besteht aus einer Zugangsschlüssel-ID und dem entsprechenden geheimen Zugangsschlüssel. Ungeschützte Zugangsschlüssel stellen ein Sicherheitsrisiko für Ihr Konto und andere Nutzer dar, können zu überhöhten Gebühren durch unbefugte Aktivitäten oder Missbrauch führen und verstoßen gegen die AWS Kundenvereinbarung.

Wenn Ihr Zugangsschlüssel offengelegt wurde, ergreifen Sie sofort Maßnahmen zur Sicherung Ihres Kontos. Um Ihr Konto vor übermäßigen Gebühren zu schützen, wird Ihre Fähigkeit, einige AWS Ressourcen zu erstellen, AWS vorübergehend eingeschränkt. Dies macht Ihr Konto nicht sicher. Dies schränkt die unerlaubte Nutzung, die Ihnen in Rechnung gestellt werden könnte, nur teilweise ein.

Anmerkung

Diese Prüfung garantiert nicht die Identifizierung offener Zugangsschlüssel oder kompromittierter EC2-Instances. Letztlich sind Sie für die Sicherheit Ihrer Zugangsschlüssel und AWS Ressourcen verantwortlich.

Die Ergebnisse dieser Prüfung werden automatisch aktualisiert und Aktualisierungsanforderungen sind nicht zulässig. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Wenn für einen Zugangsschlüssel eine Frist angegeben ist, AWS können Sie Ihren Schlüssel sperren, AWS-Konto sofern die unbefugte Nutzung bis zu diesem Datum nicht gestoppt wird. Wenn Sie der Meinung sind, dass es sich bei einer Warnung um einen Fehler handelt, wenden Sie sich an AWS Support.

Die unter angezeigten Informationen geben Trusted Advisor möglicherweise nicht den aktuellen Status Ihres Kontos wieder. Kompromittierte Zugriffsschlüssel werden erst als aufgelöst markiert, wenn alle kompromittierten Zugriffsschlüssel des Kontos aufgelöst wurden. Diese Datensynchronisierung kann bis zu einer Woche dauern.

Prüf-ID

12Fnkpl8Y5

Warnungskriterien

Rot: Potenziell gefährdet — AWS hat eine Zugriffsschlüssel-ID und einen entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet veröffentlicht und möglicherweise kompromittiert (verwendet) wurden.
Rot: Offengelegt — AWS hat eine Zugangsschlüssel-ID und den entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet offengelegt wurden.
Rot: Verdächtig – Eine unregelmäßige Nutzung von Amazon EC2 deutet darauf hin, dass ein Zugriffsschlüssel möglicherweise kompromittiert wurde, aber nicht als im Internet offengelegt identifiziert wurde.

Empfohlene Aktion

Löschen Sie den betroffenen Zugriffsschlüssel schnellstmöglich. Wenn der Schlüssel mit einem IAM-Benutzer verknüpft ist, finden Sie weitere Informationen unter Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Überprüfen Sie, ob Ihr Konto unbefugt genutzt wurde. Melden Sie sich bei der AWS Management Console an und überprüfen Sie jede Servicekonsole auf verdächtige Ressourcen. Achten Sie besonders auf die Ausführung von Amazon-EC2-Instances, Spot-Instance-Anfragen, Zugriffsschlüssel und IAM-Benutzer. Sie können die Gesamtnutzung auch in der Konsole für Fakturierung und Kostenmanagement überprüfen.

Weitere Ressourcen

Berichtsspalten

Access Key ID
Benutzername (IAM oder Stammbenutzer)
Art des Betrugs
Fall-ID
Aktualisierungszeitpunkt
Ort
Frist
Nutzung (USD pro Tag)

Beschreibung

Prüft auf aktiven IAM-Zugangsschlüsseln, die in den letzten 90 Tagen nicht rotiert wurden.

Wenn Sie Ihre Zugangsschlüssel regelmäßig wechseln, verringern Sie die Wahrscheinlichkeit, dass ein kompromittierter Schlüssel ohne Ihr Wissen für den Zugriff auf Ressourcen verwendet werden kann. Für die Zwecke dieser Prüfung ist das Datum und die Uhrzeit der letzten Rotation der Zeitpunkt, an dem der Zugangsschlüssel erstellt oder zuletzt aktiviert wurde. Die Nummer und das Datum des Zugriffsschlüssels stammen aus den access_key_1_last_rotated und access_key_2_last_rotated Informationen aus dem letzten IAM-Berechtigungsbericht.

Da die Regenerierungshäufigkeit eines Berichts mit Anmeldeinformationen eingeschränkt ist, spiegelt das Aktualisieren dieser Prüfung möglicherweise nicht die letzten Änderungen wider. Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto-Konto.

Um Zugriffsschlüssel erstellen und rotieren zu können, muss ein Benutzer über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Benutzern erlauben, ihre eigenen Passwörter, Zugriffsschlüssel und SSH-Schlüssel zu verwalten.

Prüf-ID

DqdJqYeRm5

Warnungskriterien

Grün: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 90 Tagen rotiert.
Gelb: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren, aber vor mehr als 90 Tagen, rotiert.
Rot: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren nicht rotiert.

Empfohlene Aktion

Rotieren Sie die Zugriffsschlüssel regelmäßig. Weitere Informationen finden Sie unter Rotieren von Zugriffsschlüsseln und Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Weitere Ressourcen

Berichtsspalten

Status
IAM-Benutzer
Zugriffsschlüssel
Letzte Rotation des Schlüssels
Grund

Beschreibung

Prüft die Passwortrichtlinie für Ihr Konto und warnt, wenn keine Passwortrichtlinie aktiviert ist oder wenn die Anforderungen an den Kennwortinhalt nicht aktiviert wurden.

Die Anforderungen an den Inhalt von Passwörtern erhöhen die allgemeine Sicherheit Ihrer AWS Umgebung, indem sie die Erstellung von sicheren Benutzerpasswörtern erzwingen. Wenn Sie eine Passwortrichtlinie erstellen oder ändern, wird die Änderung sofort für neue Benutzer erzwungen, aber bestehende Benutzer müssen ihre Passwörter nicht ändern.

Prüf-ID

Yw2K9puPzl

Warnungskriterien

Gelb: Eine Passwortrichtlinie ist aktiviert, aber mindestens eine Inhaltsanforderung ist nicht aktiviert.
Rot: Es ist keine Passwortrichtlinie aktiviert.

Empfohlene Aktion

Wenn einige Inhaltsanforderungen nicht aktiviert sind, sollten Sie die Aktivierung in Erwägung ziehen. Wenn keine Passwortrichtlinie aktiviert ist, erstellen und konfigurieren Sie eine. Weitere Informationen finden Sie unter Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer.

Weitere Ressourcen

Verwalten von Passwörtern

Berichtsspalten

Kennwortrichtlinien
Großbuchstaben
Kleinschreibung
Zahl
Nicht-alphanumerisch

Beschreibung

Prüft auf Ihre Verwendung von IAM. Sie können IAM verwenden, um Benutzer, Gruppen und Rollen in AWS zu erstellen. Sie können auch Genehmigungen verwenden, um den Zugriff auf AWS -Ressourcen zu steuern. Mit dieser Prüfung soll die Verwendung von Root-Zugang verhindert werden, indem geprüft wird, ob mindestens ein IAM-Benutzer vorhanden ist. Sie können die Warnung ignorieren, wenn Sie die bewährten Methoden zur Zentralisierung von Identitäten und zur Konfiguration von Benutzern in einem externen Identitätsanbieter oder AWS IAM Identity Center befolgen.

Prüf-ID

zXCkfM1nI3

Warnungskriterien

Gelb: Für dieses Konto wurden keine IAM-Benutzer erstellt.

Empfohlene Aktion

Erstellen Sie einen IAM-Benutzer oder verwenden Sie ihn AWS IAM Identity Center , um zusätzliche Benutzer zu erstellen, deren Berechtigungen auf die Ausführung bestimmter Aufgaben in Ihrer AWS Umgebung beschränkt sind.

Weitere Ressourcen

Beschreibung

Prüft das Root-Konto und warnt, wenn die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert ist.

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, Ihr Konto mithilfe von MFA zu schützen. Dabei muss ein Benutzer bei der Interaktion mit den AWS Management Console und den zugehörigen Websites einen eindeutigen Authentifizierungscode von seiner MFA-Hardware oder seinem virtuellen Gerät eingeben.

Prüf-ID

7DAFEmoDos

Warnungskriterien

Rot: MFA ist für das Root-Konto nicht aktiviert.

Empfohlene Aktion

Loggen Sie sich in Ihr Root-Konto ein und aktivieren Sie ein MFA-Gerät. Weitere Informationen finden Sie unter Überprüfen des MFA-Status und Einrichten eines MFA-Gerätes.

Weitere Ressourcen

Verwenden von Geräten mit Multi-Factor Authentication (MFA) mit AWS

Beschreibung

Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff (0.0.0.0/0) auf bestimmte Ports erlauben.

Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust). Die Häfen mit dem höchsten Risiko sind rot gekennzeichnet, die Häfen mit einem geringeren Risiko sind gelb gekennzeichnet. Grün markierte Ports werden in der Regel von Anwendungen verwendet, die einen uneingeschränkten Zugriff erfordern, wie z. B. HTTP und SMTP.

Wenn Sie Ihre Sicherheitsgruppen absichtlich auf diese Weise konfiguriert haben, empfehlen wir zusätzliche Sicherheitsmaßnahmen zur Sicherung Ihrer Infrastruktur (z. B. IP-Tabellen).

Anmerkung

Bei dieser Prüfung werden nur von Ihnen erstellte Sicherheitsgruppen und deren eingehende Regeln für IPv4-Adressen ausgewertet. Sicherheitsgruppen, die von AWS Directory Service erstellt wurden, werden als rot oder gelb gekennzeichnet, stellen aber kein Sicherheitsrisiko dar und können getrost ignoriert oder ausgeschlossen werden. Weitere Informationen finden Sie unter Trusted Advisor FAQ.

Anmerkung

Diese Prüfung umfasst nicht den Anwendungsfall, in dem eine vom Kunden verwaltete Präfixliste Zugriff auf 0.0.0.0/0 gewährt und als Quelle mit einer Sicherheitsgruppe verwendet wird.

Prüf-ID

HCP4007jGY

Warnungskriterien

Grün: Der Zugriff auf Port 80, 25, 443 oder 465 ist nicht eingeschränkt.
Rot: Der Zugriff auf Port 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 oder 5500 ist nicht eingeschränkt.
Gelb: Der Zugriff auf alle anderen Ports ist nicht eingeschränkt.

Empfohlene Aktion

Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.

Weitere Ressourcen

Berichtsspalten

Status
Region
Name der Sicherheitsgruppe
Sicherheitsgruppen-ID
Protokoll
Von Port
An Port

Beschreibung

Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff auf eine Ressource erlauben.

Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust).

Anmerkung

Bei dieser Prüfung werden nur von Ihnen erstellte Sicherheitsgruppen und deren eingehende Regeln für IPv4-Adressen ausgewertet. Sicherheitsgruppen, die von AWS Directory Service erstellt wurden, werden als rot oder gelb gekennzeichnet, stellen aber kein Sicherheitsrisiko dar und können getrost ignoriert oder ausgeschlossen werden. Weitere Informationen finden Sie unter Trusted Advisor FAQ.

Anmerkung

Diese Prüfung umfasst nicht den Anwendungsfall, in dem eine vom Kunden verwaltete Präfixliste Zugriff auf 0.0.0.0/0 gewährt und als Quelle mit einer Sicherheitsgruppe verwendet wird.

Prüf-ID

1iG5NDGVre

Warnungskriterien

Rot: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit einem /0-Suffix für andere Ports als 25, 80 oder 443.

Empfohlene Aktion

Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.

Weitere Ressourcen

Berichtsspalten

Status
Region
Name der Sicherheitsgruppe
Sicherheitsgruppen-ID
Protokoll
Von Port
An Port
IP-Bereich

Anmerkung

Namen prüfen

Aufbewahrungszeitraum für Amazon CloudWatch Log Group

Anmerkung

Amazon-EC2-Instances mit veraltetem Microsoft SQL Server (Ende des Supports)

Anmerkung

Amazon-EC2-Instances mit veraltetem Support für Microsoft Windows Server

Anmerkung

Ende der Standardunterstützung für Amazon EC2 EC2-Instances mit Ubuntu LTS

Amazon EFS-Clients verwenden keine data-in-transit Verschlüsselung

Anmerkung

Amazon EBS-Snapshots

Anmerkung

Die Amazon RDS Aurora-Speicherverschlüsselung ist ausgeschaltet

Anmerkung

Anmerkung

Ein Upgrade der Nebenversion der Amazon RDS-Engine ist erforderlich

Anmerkung

Anmerkung

Öffentliche Amazon RDS-Snapshots

Anmerkung

Zugriffsrisiko für Amazon RDS-Sicherheitsgruppen

Die Amazon RDS-Speicherverschlüsselung ist ausgeschaltet

Anmerkung

Anmerkung

Erstellen Sie eine verschlüsselte Kopie der ursprünglichen DB-Instance

Amazon Route 53 stimmt nicht mit CNAME-Datensätzen überein, die direkt auf S3-Buckets verweisen

Amazon Route 53 MX-Ressourceneintragsätze und Senderrichtlinien-Framework

Amazon S3 Bucket-Berechtigungen

Amazon VPC-Peering-Verbindungen mit deaktivierter DNS-Auflösung

Anmerkung

AWS Backup Tresor ohne ressourcenbasierte Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten

Anmerkung

AWS CloudTrail Protokollierung

AWS Lambda Funktionen, die veraltete Laufzeiten verwenden

Anmerkung

AWS Well-Architected-Probleme mit hohem Risiko für die Sicherheit

Anmerkung

CloudFrontBenutzerdefinierte SSL-Zertifikate im IAM-Zertifikatsspeicher

CloudFront SSL-Zertifikat auf dem Ursprungsserver

ELB-Listener-Sicherheit

ELB-Sicherheitsgruppen

Exposed Access Keys

Anmerkung

IAM-Zugriffsschlüssel-Rotation

IAM–Passwortrichtlinie

Verwendung von IAM

MFA auf Root-Konto

Sicherheitsgruppen – Bestimmte Ports uneingeschränkt

Anmerkung

Anmerkung

Sicherheitsgruppen – Uneingeschränkter Zugriff

Anmerkung

Anmerkung