Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit
Sie können die folgenden Prüfungen für die Sicherheitskategorie verwenden.
Anmerkung
Wenn Sie Security Hub für Ihren aktiviert haben AWS-Konto, können Sie Ihre Ergebnisse in der Trusted Advisor Konsole einsehen. Weitere Informationen finden Sie unter Anzeigen von AWS Security Hub Steuerelemente in AWS Trusted Advisor.
Sie können alle Kontrollen des Sicherheitsstandards AWS Foundation Security Best Practices anzeigen, mit Ausnahme der Kontrollen, die der Kategorie „Wiederherstellen“ > „Resilienz“ zugeordnet sind. Eine Liste der unterstützten Steuerelemente finden Sie unter AWS Foundational Security Best Practices-Steuerelemente im AWS Security Hub -Benutzerhandbuch.
Namen prüfen
- Aufbewahrungszeitraum für Amazon CloudWatch Log Group
- EC2Amazon-Instances mit Ende des Supports für Microsoft SQL Server
- Ende des Supports für EC2 Amazon-Instances mit Microsoft Windows Server
- EC2Amazon-Instances mit LTS Ende der Standardunterstützung für Ubuntu
- EFSAmazon-Kunden verwenden keine data-in-transit Verschlüsselung
- EBSÖffentliche Schnappschüsse von Amazon
- Die Amazon RDS Aurora-Speicherverschlüsselung ist ausgeschaltet
- Ein Upgrade der Amazon RDS Engine-Nebenversion ist erforderlich
- RDSÖffentliche Schnappschüsse von Amazon
- Zugriffsrisiko RDS für Amazon Security Group
- Die RDS Amazon-Speicherverschlüsselung ist ausgeschaltet
- Amazon Route 53 stimmt nicht überein mit CNAME Datensätzen, die direkt auf S3-Buckets verweisen
- Amazon Route 53 MX-Ressourceneintragsätze und Senderrichtlinien-Framework
- Amazon S3 Bucket-Berechtigungen
- VPCAmazon-Peering-Verbindungen mit deaktivierter DNS Auflösung
- Application Load Balancer — Verschlüsseltes Protokoll für Zielgruppen
- AWS Backup Tresor ohne ressourcenbasierte Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten
- AWS CloudTrail Protokollierung
- AWS Lambda Funktionen, die veraltete Laufzeiten verwenden
- AWS Well-Architected-Probleme mit hohem Risiko für die Sicherheit
- CloudFrontBenutzerdefinierte SSL Zertifikate im IAM Zertifikatsspeicher
- CloudFront SSLZertifikat auf dem Origin Server
- ELBListener-Sicherheit
- Classic Load Balancer Balancer-Sicherheitsgruppen
- Exposed Access Keys
- IAM-Zugriffsschlüssel-Rotation
- IAMPasswort-Richtlinie
- IAMSAML2.0 Identitätsanbieter
- MFAauf dem Root-Konto
- Root-Benutzerzugriffsschlüssel
- Sicherheitsgruppen – Bestimmte Ports uneingeschränkt
- Sicherheitsgruppen – Uneingeschränkter Zugriff
Aufbewahrungszeitraum für Amazon CloudWatch Log Group
- Beschreibung
-
Prüft, ob die Aufbewahrungsfrist für CloudWatch Amazon-Protokollgruppen auf 365 Tage oder eine andere angegebene Anzahl festgelegt ist.
Standardmäßig werden Protokolle unbegrenzt aufbewahrt und laufen nicht ab. Sie können jedoch die Aufbewahrungsrichtlinien für jede Protokollgruppe so anpassen, dass sie den Branchenvorschriften oder gesetzlichen Anforderungen für einen bestimmten Zeitraum entsprechen.
Sie können die Mindestaufbewahrungszeit und die Namen der Protokollgruppen mithilfe der MinRetentionTimeParameter LogGroupNamesund in Ihren AWS Config Regeln angeben.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz186
- Quelle
-
AWS Config Managed Rule: cw-loggroup-retention-period-check
- Warnungskriterien
-
Gelb: Die Aufbewahrungsdauer einer CloudWatch Amazon-Protokollgruppe liegt unter der gewünschten Mindestanzahl von Tagen.
- Empfohlene Aktion
-
Konfigurieren Sie eine Aufbewahrungsfrist von mehr als 365 Tagen für Ihre in Amazon CloudWatch Logs gespeicherten Protokolldaten, um die Compliance-Anforderungen zu erfüllen.
Weitere Informationen finden Sie unter Aufbewahrung von Protokolldaten ändern in CloudWatch Logs.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
EC2Amazon-Instances mit Ende des Supports für Microsoft SQL Server
- Beschreibung
-
Überprüft die SQL Serverversionen für Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die in den letzten 24 Stunden ausgeführt wurden. Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede SQL Serverversion bietet 10 Jahre Support, darunter 5 Jahre Standardsupport und 5 Jahre erweiterten Support. Nach dem Ende des Supports erhält die SQL Serverversion keine regelmäßigen Sicherheitsupdates. Das Ausführen von Anwendungen mit nicht unterstützten SQL Serverversionen kann Sicherheits- oder Compliance-Risiken mit sich bringen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
Qsdfp3A4L3
- Warnungskriterien
-
-
Rot: Eine EC2 Instanz hat eine SQL Serverversion, deren Support abgelaufen ist.
-
Gelb: Eine EC2 Instanz hat eine SQL Serverversion, deren Support in 12 Monaten ausläuft.
-
- Empfohlene Aktion
-
Um Ihre SQL Server-Workloads zu modernisieren, sollten Sie ein Refactoring auf AWS Cloud native Datenbanken wie Amazon Aurora in Betracht ziehen. Weitere Informationen finden Sie unter Windows-Workloads modernisieren
mit. AWS Um zu einer vollständig verwalteten Datenbank zu wechseln, sollten Sie eine Umstellung auf Amazon Relational Database Service (Amazon) in Betracht ziehen. RDS Weitere Informationen finden Sie unter Amazon RDS for SQL Server
. Um Ihren SQL Server bei Amazon zu aktualisierenEC2, sollten Sie das Automation Runbook verwenden, um Ihr Upgrade zu vereinfachen. Weitere Informationen finden Sie in der AWS Systems Manager -Dokumentation.
Wenn Sie Ihren SQL Server bei Amazon nicht aktualisieren könnenEC2, sollten Sie das End-of-Support-Migrationsprogramm (EMP) für Windows Server in Betracht ziehen. Weitere Informationen finden Sie auf der EMP Website.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Instance-ID
-
SQLServerversion
-
Supportzyklus
-
Ende des Supports
-
Zeitpunkt der letzten Aktualisierung
-
Ende des Supports für EC2 Amazon-Instances mit Microsoft Windows Server
- Beschreibung
-
Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede Windows-Server-Version bietet 10 Jahre Support. Dies umfasst 5 Jahre Mainstream-Support und 5 Jahre erweiterten Support. Nach dem Ende des Supports erhält die Windows-Server-Version keine regelmäßigen Sicherheitsupdates mehr. Wenn Sie Anwendungen mit nicht unterstützten Windows-Server-Versionen ausführen, riskieren Sie die Sicherheit oder Konformität dieser Anwendungen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
Qsdfp3A4L4
- Warnungskriterien
-
-
Rot: Eine EC2 Instance hat eine Windows Server-Version, deren Support abgelaufen ist (Windows Server 2003, 2003 R2, 2008 und 2008 R2).
-
Gelb: Eine EC2 Instanz hat eine Windows Server-Version, deren Support in weniger als 18 Monaten ausläuft (Windows Server 2012 und 2012 R2).
-
- Empfohlene Aktion
-
Um Ihre Windows Server-Workloads zu modernisieren, sollten Sie die verschiedenen Optionen in Betracht ziehen, die unter Windows-Workloads modernisieren
mit verfügbar sind. AWS Um Ihre Windows-Server-Workloads für die Ausführung auf neueren Versionen von Windows Server zu aktualisieren, können Sie ein Automatisierungs-Runbook verwenden. Weitere Informationen finden Sie in der AWS -Systems-Manager-Dokumentation.
Bitte befolgen Sie die folgenden Schritte:
-
Aktualisieren Sie die Windows Server-Version
-
Nach dem Upgrade müssen Sie das System anhalten und wieder starten
-
Wenn Sie es verwendenEC2Config, migrieren Sie bitte zu EC2Launch
-
- Berichtsspalten
-
-
Status
-
Region
-
Instance-ID
-
Windows-Server-Version
-
Supportzyklus
-
Ende des Supports
-
Zeitpunkt der letzten Aktualisierung
-
EC2Amazon-Instances mit LTS Ende der Standardunterstützung für Ubuntu
- Beschreibung
-
Durch diese Überprüfung werden Sie benachrichtigt, wenn die Versionen kurz vor dem Ende des Standard-Supports stehen oder dieses bereits erreicht haben. Es ist wichtig, Maßnahmen zu ergreifen — entweder durch eine Migration zur nächsten Version LTS oder durch ein Upgrade auf Ubuntu Pro. Nach dem Ende des Supports erhalten Ihre LTS 18.04-Computer keine Sicherheitsupdates mehr. Mit einem Ubuntu Pro-Abonnement kann Ihre Ubuntu LTS 18.04-Bereitstellung bis 2028 die erweiterte Sicherheitswartung () ESM erhalten. Sicherheitslücken, die weiterhin ungepatcht werden, machen Ihre Systeme anfällig für Hacker und die Gefahr schwerwiegender Sicherheitslücken.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c1dfprch15
- Warnungskriterien
-
Rot: Eine EC2 Amazon-Instance hat eine Ubuntu-Version, die das Ende der Standardunterstützung erreicht hat (Ubuntu 18.04LTS, 18.04.1, 18.04.2, 18.04.3LTS, 18.04.4LTS, 18.04.5 und 18.04.6LTS). LTS LTS LTS
Gelb: Eine EC2 Amazon-Instance hat eine Ubuntu-Version, deren Standardunterstützung in weniger als 6 Monaten ausläuft (Ubuntu 20.04LTS, 20.04.1, 20.04.2, 20.04.3, 20.04.4LTS, LTS 20.04.5 und LTS 20.04.6). LTS LTS LTS
Grün: Alle EC2 Amazon-Instances sind konform.
- Empfohlene Aktion
-
Um die Ubuntu LTS 18.04-Instances auf eine unterstützte LTS Version zu aktualisieren, folgen Sie bitte den in diesem
Artikel genannten Schritten. Um die Ubuntu LTS 18.04-Instanzen auf Ubuntu Pro zu aktualisieren, besuchen Sie die AWS License Manager Konsole und folgen Sie den im Benutzerhandbuch genannten Schritten.AWS License Manager Sie können sich auch den Ubuntu-Blog ansehen, der eine schrittweise Demo zum Upgrade von Ubuntu-Instanzen auf Ubuntu Pro zeigt. - Weitere Ressourcen
-
Informationen zu den Preisen erhalten Sie unter AWS Support
. - Berichtsspalten
-
-
Status
-
Region
-
Ubuntu LTS-Version
-
Voraussichtliches Ende des Support
-
Instance-ID
-
Supportzyklus
-
Zeitpunkt der letzten Aktualisierung
-
EFSAmazon-Kunden verwenden keine data-in-transit Verschlüsselung
- Beschreibung
-
Prüft, ob das EFS Amazon-Dateisystem data-in-transit verschlüsselt eingehängt ist. AWS empfiehlt Kunden, data-in-transit Verschlüsselung für alle Datenflüsse zu verwenden, um Daten vor versehentlicher Offenlegung oder unbefugtem Zugriff zu schützen. Amazon EFS empfiehlt Kunden, die Mount-Einstellung '-o tls' mit dem EFS Amazon-Mount-Helper zu verwenden, um Daten während der Übertragung mit Version 1.2 zu verschlüsseln. TLS
- Prüf-ID
-
c1dfpnchv1
- Warnungskriterien
-
Gelb: Ein oder mehrere NFS Clients für Ihr EFS Amazon-Dateisystem verwenden nicht die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.
Grün: Alle NFS Clients für Ihr EFS Amazon-Dateisystem verwenden die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.
- Empfohlene Aktion
-
Um die data-in-transit Verschlüsselungsfunktion von Amazon nutzen zu könnenEFS, empfehlen wir Ihnen, Ihr Dateisystem mithilfe des EFS Amazon-Mount-Helpers und der empfohlenen Mount-Einstellungen erneut bereitzustellen.
Anmerkung
Einige Linux-Distributionen enthalten standardmäßig keine Version von Stunnel, die TLS Funktionen unterstützt. Wenn Sie eine Linux-Distribution verwenden, die nicht unterstützt wird (siehe Unterstützte Distributionen im Amazon Elastic File System-Benutzerhandbuch), empfiehlt es sich, sie zu aktualisieren, bevor Sie sie mit der empfohlenen Mount-Einstellung erneut mounten.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
EFSDateisystem-ID
-
AZsmit unverschlüsselten Verbindungen
-
Zeitpunkt der letzten Aktualisierung
-
EBSÖffentliche Schnappschüsse von Amazon
- Beschreibung
-
Überprüft die Berechtigungseinstellungen für Ihre Amazon Elastic Block Store (AmazonEBS) -Volume-Snapshots und warnt Sie, wenn Snapshots öffentlich zugänglich sind.
Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Um einen Snapshot nur für bestimmte Benutzer oder Konten freizugeben, markieren Sie den Snapshot als privat. Geben Sie dann den oder die Benutzer an, mit denen Sie die Snapshot-Daten teilen möchten. Beachten Sie, dass Ihre öffentlichen Schnappschüsse nicht öffentlich zugänglich sind und nicht in den Ergebnissen dieser Prüfung erscheinen, wenn Sie „Öffentlichen Zugriff blockieren“ im Modus „Alle Freigaben blockieren“ aktiviert haben.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.
- Prüf-ID
-
ePs02jT06w
- Warnungskriterien
-
Rot: Der EBS Volume-Snapshot ist öffentlich zugänglich.
- Empfohlene Aktion
-
Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Einen EBS Amazon-Snapshot teilen. Verwenden Sie Block Public Access for EBS Snapshots, um die Einstellungen zu steuern, die den öffentlichen Zugriff auf Ihre Daten ermöglichen. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.
Verwenden Sie ein Runbook in der Konsole, um die Berechtigungen für Ihre Snapshots direkt zu ändern. AWS Systems Manager Weitere Informationen finden Sie unter
AWSSupport-ModifyEBSSnapshotPermission
. - Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Volume-ID
-
Snapshot-ID
-
Beschreibung
-
Die Amazon RDS Aurora-Speicherverschlüsselung ist ausgeschaltet
- Beschreibung
-
Amazon RDS unterstützt die Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit RDS Amazon-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.
Wenn die Verschlüsselung beim Erstellen eines Aurora-DB-Clusters nicht aktiviert ist, müssen Sie einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.
- Prüf-ID
-
c1qf5bt005
- Warnungskriterien
-
Rot: Für Amazon RDS Aurora-Ressourcen ist keine Verschlüsselung aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihren DB-Cluster.
- Weitere Ressourcen
-
Sie können die Verschlüsselung beim Erstellen einer DB-Instance aktivieren oder eine Problemumgehung verwenden, um die Verschlüsselung auf einer aktiven DB-Instance zu aktivieren. Sie können einen entschlüsselten DB-Cluster nicht in einen verschlüsselten DB-Cluster umwandeln. Sie können jedoch einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen. Wenn Sie aus dem entschlüsselten Snapshot wiederherstellen, müssen Sie einen AWS KMS Schlüssel angeben.
Weitere Informationen finden Sie unter Verschlüsseln von Amazon Aurora-Ressourcen.
- Berichtsspalten
-
-
Status
-
Region
-
Eine Ressource
-
Name des Motors
-
Zeitpunkt der letzten Aktualisierung
-
Ein Upgrade der Amazon RDS Engine-Nebenversion ist erforderlich
- Beschreibung
-
Auf Ihren Datenbankressourcen wird nicht die neueste DB-Engine-Nebenversion ausgeführt. Die neueste Nebenversion enthält die neuesten Sicherheitsupdates und andere Verbesserungen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.
- Prüf-ID
-
c1qf5bt003
- Warnungskriterien
-
Gelb: Auf RDS Amazon-Ressourcen wird nicht die neueste kleinere DB-Engine-Version ausgeführt.
- Empfohlene Aktion
-
Führen Sie ein Upgrade auf die neueste Engine-Version durch.
- Weitere Ressourcen
-
Wir empfehlen, dass Sie Ihre Datenbank mit der neuesten DB-Engine-Nebenversion verwalten, da diese Version die neuesten Sicherheits- und Funktionskorrekturen enthält. Die Upgrades der DB-Engine-Nebenversionen enthalten nur die Änderungen, die mit früheren Nebenversionen derselben Hauptversion der DB-Engine abwärtskompatibel sind.
Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
Name des Motors
-
Aktuelle Motorversion
-
Empfohlener Wert
-
Zeitpunkt der letzten Aktualisierung
-
RDSÖffentliche Schnappschüsse von Amazon
- Beschreibung
-
Überprüft die Berechtigungseinstellungen für Ihre Amazon Relational Database Service (AmazonRDS) DB-Snapshots und warnt Sie, wenn Snapshots als öffentlich markiert sind.
Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Wenn Sie einen Snapshot nur für bestimmte Benutzer oder Konten freigeben möchten, markieren Sie den Snapshot als privat. Geben Sie dann den Benutzer oder die Konten an, für die Sie die Snapshot-Daten freigeben möchten.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.
- Prüf-ID
-
rSs93HQwa1
- Warnungskriterien
-
Rot: Der RDS Amazon-Snapshot ist als öffentlich markiert.
- Empfohlene Aktion
-
Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Freigeben eines DB-Snapshots oder DB-Cluster-Snapshots. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.
Um die Berechtigungen für Ihre Snapshots direkt zu ändern, können Sie ein Runbook in der AWS Systems Manager Konsole verwenden. Weitere Informationen finden Sie unter
AWSSupport-ModifyRDSSnapshotPermission
. - Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
DB-Instance oder Cluster-ID
-
Snapshot-ID
-
Zugriffsrisiko RDS für Amazon Security Group
- Beschreibung
-
Überprüft die Sicherheitsgruppenkonfigurationen für Amazon Relational Database Service (AmazonRDS) und warnt, wenn eine Sicherheitsgruppenregel zu freizügigen Zugriff auf Ihre Datenbank gewährt. Die empfohlene Konfiguration für eine Sicherheitsgruppenregel besteht darin, den Zugriff nur von bestimmten Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen oder von einer bestimmten IP-Adresse aus zuzulassen.
Anmerkung
Bei dieser Prüfung werden nur Sicherheitsgruppen ausgewertet, bei denen es sich um angehängte toAmazon RDS Instances handelt, die draußen auf einem Amazon VPC ausgeführt werden.
- Prüf-ID
-
nNauJisYIT
- Warnungskriterien
-
-
Gelb: Eine DB-Sicherheitsgruppenregel verweist auf eine EC2 Amazon-Sicherheitsgruppe, die globalen Zugriff auf einen der folgenden Ports gewährt: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
-
Rot: Eine DB-Sicherheitsgruppenregel gewährt globalen Zugriff (das Regelsuffix ist /0). CIDR
-
Grün: Eine DB-Sicherheitsgruppe enthält keine permissiven Regeln.
-
- Empfohlene Aktion
-
EC2-Classic wurde am 15. August 2022 eingestellt. Es wird empfohlen, Ihre RDS Amazon-Instances in eine zu verschieben VPC und EC2 Amazon-Sicherheitsgruppen zu verwenden. Weitere Informationen zum Verschieben Ihrer DB-Instance in eine finden Sie VPC unter Verschieben einer DB-Instance, die sich nicht in einer befindet, VPC in eine VPC.
Wenn Sie Ihre RDS Amazon-Instances nicht zu a migrieren könnenVPC, überprüfen Sie Ihre Sicherheitsgruppenregeln und beschränken Sie den Zugriff auf autorisierte IP-Adressen oder IP-Bereiche. Um eine Sicherheitsgruppe zu bearbeiten, verwenden Sie A uthorizeDBSecurity GroupIngress API oder AWS Management Console. Weitere Informationen finden Sie unter Arbeiten mit DB-Sicherheitsgruppen.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
RDSName der Sicherheitsgruppe
-
Regel für eingehenden Datenverkehr
-
Grund
-
Die RDS Amazon-Speicherverschlüsselung ist ausgeschaltet
- Beschreibung
-
Amazon RDS unterstützt die Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit RDS Amazon-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.
Wenn die Verschlüsselung beim Erstellen einer DB-Instance nicht aktiviert ist, müssen Sie eine verschlüsselte Kopie des entschlüsselten Snapshots wiederherstellen, bevor Sie die Verschlüsselung aktivieren.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.
- Prüf-ID
-
c1qf5bt006
- Warnungskriterien
-
Rot: Amazon RDS Amazon-Ressourcen ist keine Verschlüsselung aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihre DB-Instance.
- Weitere Ressourcen
-
Sie können eine DB-Instance nur verschlüsseln, wenn Sie die DB-Instance erstellen. Um eine bestehende aktive DB-Instance zu verschlüsseln:
Erstellen Sie eine verschlüsselte Kopie der ursprünglichen DB-Instance
-
Erstellen Sie einen Snapshot Ihrer DB-Instance.
-
Erstellen Sie eine verschlüsselte Kopie des in Schritt 1 erstellten Snapshots.
-
Stellen Sie eine DB-Instance aus dem verschlüsselten Snapshot wieder her.
Weitere Informationen finden Sie in den folgenden Ressourcen:
-
- Berichtsspalten
-
-
Status
-
Region
-
Eine Ressource
-
Name des Motors
-
Zeitpunkt der letzten Aktualisierung
-
Amazon Route 53 stimmt nicht überein mit CNAME Datensätzen, die direkt auf S3-Buckets verweisen
- Beschreibung
-
Überprüft die Amazon Route 53 Hosted Zones mit CNAME Datensätzen, die direkt auf Amazon S3 S3-Bucket-Hostnamen verweisen, und warnt, wenn Ihr Name CNAME nicht mit Ihrem S3-Bucket-Namen übereinstimmt.
- Prüf-ID
-
c1ng44jvbm
- Warnungskriterien
-
Rot: In der Amazon Route 53 Hosted Zone gibt es CNAME Datensätze, die auf nicht übereinstimmende S3-Bucket-Hostnamen hinweisen.
Grün: In Ihrer Amazon Route 53 Hosted Zone wurden keine nicht übereinstimmenden CNAME Datensätze gefunden.
- Empfohlene Aktion
-
Wenn Sie CNAME Datensätze auf S3-Bucket-Hostnamen verweisen, müssen Sie sicherstellen, dass für jeden von Ihnen konfigurierten Datensatz CNAME oder Alias-Datensatz ein passender Bucket vorhanden ist. Auf diese Weise vermeiden Sie das Risiko, dass Ihre CNAME Datensätze gefälscht werden. Sie verhindern auch, dass unbefugte AWS Benutzer fehlerhafte oder bösartige Webinhalte mit Ihrer Domain hosten.
Um zu vermeiden, dass CNAME Datensätze direkt auf S3-Bucket-Hostnamen verweisen, sollten Sie Origin Access Control (OAC) verwenden, um über Amazon CloudFront auf Ihre S3-Bucket-Webressourcen zuzugreifen.
Weitere Informationen zur Verknüpfung CNAME mit einem Amazon S3-Bucket-Hostnamen finden Sie unter Amazon S3 URLs mit Datensätzen anpassen. CNAME
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
ID der gehosteten Zone
-
Gehostete Zone ARN
-
Passende CNAME Datensätze
-
Nicht übereinstimmende Datensätze CNAME
-
Zeitpunkt der letzten Aktualisierung
-
Amazon Route 53 MX-Ressourceneintragsätze und Senderrichtlinien-Framework
- Beschreibung
-
Prüft für jeden MX-Eintrag, ob ein TXT zugeordneter Datensatz einen gültigen SPF Wert enthält. Der TXT Datensatzwert muss mit „v=spf1" beginnen. SPFDatensatztypen werden von der Internet Engineering Task Force () als veraltet eingestuft. IETF Bei Route 53 hat es sich bewährt, einen TXT Datensatz anstelle eines Datensatzes zu verwenden. SPF Trusted Advisor meldet dieses Häkchen grün, wenn einem MX-Eintrag mindestens ein TXT Datensatz mit einem gültigen SPF Wert zugeordnet ist.
- Prüf-ID
-
c9D319e7sG
- Warnungskriterien
-
-
Grün: Einem MX-Ressourcendatensatz ist ein TXT Ressourceneintrag zugeordnet, der einen gültigen SPF Wert enthält.
-
Gelb: Ein MX-Ressourcendatensatz hat einen TXT SPF OR-Ressourceneintrag, der einen gültigen SPF Wert enthält.
-
Rot: Ein MX-Ressourcendatensatz hat keinen TXT SPF OR-Ressourceneintrag, der einen gültigen SPF Wert enthält.
-
- Empfohlene Aktion
-
Erstellen Sie für jeden MX-Ressourcendatensatz einen TXT Ressourcendatensatz, der einen gültigen SPF Wert enthält. Weitere Informationen finden Sie unter Sender Policy Framework: SPF Datensatzsyntax
und Erstellen von Ressourcendatensätzen mithilfe der Amazon Route 53-Konsole. - Weitere Ressourcen
- Berichtsspalten
-
-
Name der gehosteten Zone
-
ID der gehosteten Zone
-
Name des Ressourcendatensatzes
-
Status
-
Amazon S3 Bucket-Berechtigungen
- Beschreibung
-
Überprüft Buckets in Amazon Simple Storage Service (Amazon S3), die über offene Zugriffsberechtigungen verfügen oder die jedem authentifizierten Benutzer AWS Zugriff gewähren.
Diese Prüfung untersucht explizite Bucket-Berechtigungen sowie Bucket-Richtlinien, die diese Berechtigungen außer Kraft setzen können. Es wird nicht empfohlen, allen Benutzern Listenzugriffsrechte für einen Amazon S3-Bucket zu gewähren. Diese Berechtigungen können dazu führen, dass unbeabsichtigte Benutzer sehr häufig Objekte in den Bucket aufnehmen, was zu höheren Gebühren als erwartet führen kann. Berechtigungen, die jedem Zugriff auf den Upload und Löschen gewähren, können zu Sicherheitslücken in Ihrem Bucket führen.
- Prüf-ID
-
Pfx0RwqBli
- Warnungskriterien
-
-
Gelb: Der Bucket ACL ermöglicht den Listenzugriff für „Jeder“ oder „Jeder authentifizierte Benutzer AWS “.
-
Gelb: Eine Bucket-Richtlinie ermöglicht jede Art von offenem Zugriff.
-
Gelb: Die Bucket-Richtlinie enthält Anweisungen, die öffentlichen Zugriff gewähren. Die Einstellung Block public and cross-account access to buckets that have public policies (Öffentlichen und kontoübergreifenden Zugriff auf Buckets mit öffentlichen Richtlinien blockieren) ist aktiviert, sodass nur autorisierte Benutzer dieses Kontos Zugriff haben, bis die öffentlichen Anweisungen entfernt werden.
-
Gelb: ist Trusted Advisor nicht berechtigt, die Richtlinie zu überprüfen, oder die Richtlinie konnte aus anderen Gründen nicht bewertet werden.
-
Rot: Der Bucket ACL ermöglicht den Upload- und Löschzugriff für „Jeder“ oder „Jeder authentifizierte AWS Benutzer“.
-
Grün: Alle Amazon S3 sind auf der Grundlage der ACL und/oder Bucket-Richtlinie konform.
-
- Empfohlene Aktion
-
Wenn ein Bucket den offenen Zugriff zulässt, müssen Sie überprüfen, ob der offene Zugriff wirklich erforderlich ist. Um beispielsweise eine statische Website zu hosten, können Sie Amazon verwenden, CloudFront um die auf Amazon S3 gehosteten Inhalte bereitzustellen. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf anAmazon S3 Origin im Amazon CloudFront Developer Guide. Aktualisieren Sie nach Möglichkeit die Bucket-Berechtigungen, um den Zugriff auf den Eigentümer oder bestimmte Benutzer zu beschränken. Verwenden Sie Amazon S3 Block Public Access, um die Einstellungen für öffentlichen Zugriff auf Ihre Daten zu steuern. Weitere Informationen finden Sie unter Einrichten der Zugriffsberechtigungen für Bucket und Objekt.
- Weitere Ressourcen
-
Verwaltung der Zugriffsberechtigungen für Ihre Amazon-S3-Ressourcen
- Berichtsspalten
-
-
Status
-
Name der Region
-
Parameter für die Region API
-
Bucket-Name
-
ACLErlaubt Liste
-
ACLErlaubt Hochladen/Löschen
-
Richtlinie erlaubt Zugriff
-
VPCAmazon-Peering-Verbindungen mit deaktivierter DNS Auflösung
- Beschreibung
-
Überprüft, ob bei Ihren VPC Peering-Verbindungen die DNS Auflösung sowohl für den Akzeptor als auch für den Anforderer aktiviert ist. VPCs
DNSDie Auflösung für eine VPC Peering-Verbindung ermöglicht die Auflösung von öffentlichen DNS Hostnamen in private IPv4 Adressen, wenn diese von Ihnen abgefragt werden. VPC Dies ermöglicht die Verwendung von DNS Namen für die Kommunikation zwischen Ressourcen im Peered-Modus. VPCs DNSDie Auflösung Ihrer VPC Peering-Verbindungen macht die Anwendungsentwicklung und -verwaltung einfacher und weniger fehleranfällig und stellt sicher, dass Ressourcen immer privat über die Peering-Verbindung kommunizieren. VPC
Sie können das mithilfe der VPC IDs vpcIdsParameter in Ihren Regeln angeben. AWS Config
Weitere Informationen finden Sie unter Aktivieren der DNS Auflösung für eine VPC Peering-Verbindung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz124
- Quelle
-
AWS Config Managed Rule: vpc-peering-dns-resolution-check
- Warnungskriterien
-
Gelb: Die DNS Auflösung ist nicht sowohl für den Akzeptor als auch für den Anforderer VPCs in einer VPC Peering-Verbindung aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die DNS Auflösung für Ihre VPC Peering-Verbindungen.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Application Load Balancer — Verschlüsseltes Protokoll für Zielgruppen
- Beschreibung
-
Überprüft, ob die Zielgruppen von Application Load Balancer (ALB) HTTPS das Protokoll verwenden, um die übertragene Kommunikation für Back-End-Zieltypen von Instance oder IP zu verschlüsseln. HTTPSAnfragen zwischen ALB und Back-End-Zielen tragen dazu bei, die Vertraulichkeit der Daten während der Übertragung zu wahren.
- Prüf-ID
-
c2vlfg0p1w
- Warnungskriterien
-
-
Gelb: Application Load Balancer Balancer-Zielgruppe, die verwendetHTTP.
-
Grün: Application Load Balancer Balancer-Zielgruppe, die verwendetHTTPS.
-
- Empfohlene Aktion
-
Konfigurieren Sie die Back-End-Zieltypen von Instance oder IP so, dass sie den HTTPS Zugriff unterstützen, und ändern Sie die Zielgruppe so, dass sie HTTPS das Protokoll zur Verschlüsselung der Kommunikation zwischen Instance- oder IP-Zieltypen ALB und Back-End-Zieltypen verwendet.
- Weitere Ressourcen
-
Erzwingen Sie die Verschlüsselung bei der Übertragung
Zieltypen von Application Load Balancer
Konfiguration des Application Load Balancer Balancer-Routings
- Berichtsspalten
-
-
Status
-
Region
-
ALBArn
-
ALBName
-
ALBVPCId
-
Zielgruppe Arn
-
Name der Zielgruppe
-
Protokoll der Zielgruppe
-
Zeitpunkt der letzten Aktualisierung
-
AWS Backup Tresor ohne ressourcenbasierte Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten
- Beschreibung
-
Überprüft, ob AWS Backup Tresore über eine zugeordnete ressourcenbasierte Richtlinie verfügen, die das Löschen von Wiederherstellungspunkten verhindert.
Die ressourcenbasierte Richtlinie verhindert das unerwartete Löschen von Wiederherstellungspunkten, wodurch Sie eine Zugriffskontrolle mit den geringsten Berechtigungen auf Ihre Sicherungsdaten durchsetzen können.
Sie können im principalArnListParameter Ihrer Regeln angeben AWS Identity and Access Management ARNs, dass die Regel nicht einchecken soll. AWS Config
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz152
- Quelle
-
AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled
- Warnungskriterien
-
Gelb: Es gibt AWS Backup Tresore, für die es keine ressourcenbasierte Richtlinie gibt, um das Löschen von Wiederherstellungspunkten zu verhindern.
- Empfohlene Aktion
-
Erstellen Sie ressourcenbasierte Richtlinien für Ihre AWS Backup Tresore, um das unerwartete Löschen von Wiederherstellungspunkten zu verhindern.
Die Richtlinie muss eine „Deny“ -Anweisung mit den Berechtigungen backup:DeleteRecoveryPoint, backup: UpdateRecoveryPointLifecycle und backup: enthalten. PutBackupVaultAccessPolicy
Weitere Informationen finden Sie unter Festlegen von Zugriffsrichtlinien für Sicherungstresore.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CloudTrail Protokollierung
- Beschreibung
-
Überprüft Ihre Verwendung von AWS CloudTrail. CloudTrail bietet einen besseren Einblick in Ihre Aktivitäten, AWS-Konto indem Informationen über AWS API Anrufe aufgezeichnet werden, die auf dem Konto getätigt wurden. Anhand dieser Protokolle können Sie beispielsweise feststellen, welche Aktionen ein bestimmter Benutzer während eines bestimmten Zeitraums durchgeführt hat oder welche Benutzer während eines bestimmten Zeitraums Aktionen auf einer bestimmten Ressource durchgeführt haben.
Da CloudTrail Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket übermittelt CloudTrail werden, sind Schreibberechtigungen für den Bucket erforderlich. Wenn ein Trail für alle Regionen gilt (die Standardeinstellung beim Erstellen eines neuen Trails), wird der Trail mehrfach im Trusted Advisor -Bericht angezeigt.
- Prüf-ID
-
vjafUGJ9H0
- Warnungskriterien
-
-
Gelb: CloudTrail meldet Fehler bei der Protokollzustellung für einen Trail.
-
Rot: Für eine Region wurde kein Trail erstellt oder die Protokollierung ist für einen Trail deaktiviert.
-
- Empfohlene Aktion
-
Um einen Trail zu erstellen und die Protokollierung von der Konsole aus zu starten, rufen Sie die AWS CloudTrail -Konsole
auf. Informationen zur Protokollierung finden Sie unter Anhalten und Starten der Protokollierung für einen Trail.
Wenn Sie Fehler bei der Protokollzustellung erhalten, stellen Sie sicher, dass der Bucket vorhanden ist und dass die erforderliche Richtlinie dem Bucket angefügt ist. Weitere Informationen finden Sie unter Amazon-S3-Bucket-Richtlinien.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Trail-Name
-
Status der Protokollierung
-
Bucket-Name
-
Datum der letzten Bereitstellung
-
AWS Lambda Funktionen, die veraltete Laufzeiten verwenden
- Beschreibung
-
Sucht nach Lambda-Funktionen, deren LATEST $-Version so konfiguriert ist, dass sie eine Laufzeit verwendet, die bald veraltet ist oder veraltet ist. Veraltete Laufzeiten kommen nicht für Sicherheitsupdates oder technischen Support in Frage
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Veröffentlichte Versionen der Lambda-Funktion sind unveränderlich, was bedeutet, dass sie aufgerufen, aber nicht aktualisiert werden können. Nur die
$LATEST
-Version der Lambda-Funktion kann aktualisiert werden. Weitere Informationen finden Sie unter Versionen der Lambda-Funktion. - Prüf-ID
-
L4dfs2Q4C5
- Warnungskriterien
-
-
Rot: Die LATEST $-Version der Funktion ist so konfiguriert, dass sie eine Laufzeit verwendet, die bereits veraltet ist.
-
Gelb: Die LATEST $-Version der Funktion läuft auf einer Runtime, die innerhalb von 180 Tagen veraltet sein wird.
-
- Empfohlene Aktion
-
Wenn Ihre Funktionen mit einer Laufzeit ausgeführt werden, die bald veraltet ist, sollten Sie sich auf die Migration zu einer unterstützten Laufzeit vorbereiten. Weitere Informationen finden Sie in der Richtlinie für den Laufzeitablauf.
Wir empfehlen Ihnen, frühere Funktionsversionen zu löschen, die Sie nicht mehr verwenden.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Funktion ARN
-
Laufzeit
-
Tage bis zur Veraltung
-
Datum der Veraltung
-
Durchschnittliche tägliche Aufrufe
-
Zeitpunkt der letzten Aktualisierung
-
AWS Well-Architected-Probleme mit hohem Risiko für die Sicherheit
- Beschreibung
-
Überprüft Ihre Workloads in der Sicherheitssäule auf Probleme mit hohem Risiko (HRIs). Diese Prüfung basiert auf Ihren AWS-Well Architected-Beurteilungen. Ihre Prüfergebnisse hängen davon ab, ob Sie die Workload-Bewertung mit AWS Well-Architected durchgeführt haben.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
Wxdfp4B1L3
- Warnungskriterien
-
-
Rot: In der Sicherheitssäule von AWS Well-Architected wurde mindestens ein aktives Problem mit hohem Risiko identifiziert.
-
Grün: In der Sicherheitssäule von AWS Well-Architected wurden keine aktiven Probleme mit hohem Risiko festgestellt.
-
- Empfohlene Aktion
-
AWS Well-Architected hat bei Ihrer Workload-Evaluierung Probleme mit hohem Risiko erkannt. Diese Probleme bieten Möglichkeiten, Risiken zu reduzieren und Geld zu sparen. Melden Sie sich bei AWS Well-Architected
an, um Ihre Antworten zu überprüfen und Maßnahmen zur Lösung der aktiven Probleme zu ergreifen. - Berichtsspalten
-
-
Status
-
Region
-
Arbeitslast ARN
-
Name der Workload
-
Name des Reviewers
-
Workload-Typ
-
Startdatum der Workload
-
Datum der letzten Änderung der Workload
-
Anzahl der aus HRIs Sicherheitsgründen identifizierten
-
Anzahl der aus Sicherheitsgründen HRIs gelösten
-
Anzahl der für die Sicherheit beantworteten Fragen
-
Gesamtzahl der Fragen hinsichtlich der Sicherheit
-
Zeitpunkt der letzten Aktualisierung
-
CloudFrontBenutzerdefinierte SSL Zertifikate im IAM Zertifikatsspeicher
- Beschreibung
-
Überprüft die SSL Zertifikate im IAM Zertifikatsspeicher auf CloudFront alternative Domainnamen. Diese Prüfung warnt Sie, wenn ein Zertifikat abgelaufen ist, in Kürze abläuft, eine veraltete Verschlüsselung verwendet oder nicht korrekt für die Verteilung konfiguriert ist.
Wenn ein benutzerdefiniertes Zertifikat für einen alternativen Domainnamen abläuft, zeigen Browser, die Ihre CloudFront Inhalte anzeigen, möglicherweise eine Warnmeldung über die Sicherheit Ihrer Website an. Zertifikate, die mit dem Hash-Algorithmus SHA -1 verschlüsselt wurden, werden von den meisten Webbrowsern wie Chrome und Firefox nicht mehr unterstützt.
Ein Zertifikat muss einen Domainnamen enthalten, der entweder mit dem Ursprungsdomainnamen oder dem Domainnamen im Host-Header einer Viewer-Anforderung übereinstimmt. Wenn er nicht übereinstimmt, wird dem Benutzer der HTTP Statuscode 502 (schlechtes Gateway) CloudFront zurückgegeben. Weitere Informationen finden Sie unter Verwenden alternativer Domainnamen und HTTPS.
- Prüf-ID
-
N425c450f2
- Warnungskriterien
-
-
Rot: Ein benutzerdefiniertes SSL Zertifikat ist abgelaufen.
-
Gelb: Ein benutzerdefiniertes SSL Zertifikat läuft in den nächsten sieben Tagen ab.
-
Gelb: Ein benutzerdefiniertes SSL Zertifikat wurde mit dem Hash-Algorithmus SHA -1 verschlüsselt.
-
Gelb: Einer oder mehrere der alternativen Domainnamen in der Distribution werden weder im Feld Common Name noch im Feld Alternative Subject Names des benutzerdefinierten SSL Zertifikats angezeigt.
-
- Empfohlene Aktion
-
Wir empfehlen AWS Certificate Manager die Verwendung zur Bereitstellung, Verwaltung und Bereitstellung Ihrer Serverzertifikate. Mit ACM können Sie ein neues Zertifikat anfordern oder ein vorhandenes ACM oder externes Zertifikat für AWS Ressourcen bereitstellen. ACMDie von bereitgestellten Zertifikate sind kostenlos und können automatisch erneuert werden. Weitere Informationen zur Verwendung ACM finden Sie im AWS Certificate Manager Benutzerhandbuch. Informationen zur ACM Unterstützung von Regionen finden Sie unter AWS Certificate Manager Endpunkte und Kontingente im Allgemeine AWS-Referenz.
Verlängern Sie abgelaufene Zertifikate oder Zertifikate, die bald ablaufen. Weitere Informationen zur Verlängerung eines Zertifikats finden Sie unter Serverzertifikate verwalten unter. IAM
Ersetzen Sie ein Zertifikat, das mit dem Hash-Algorithmus SHA -1 verschlüsselt wurde, durch ein Zertifikat, das mit dem SHA -256-Hash-Algorithmus verschlüsselt wurde.
Ersetzen Sie das Zertifikat durch ein Zertifikat, das die entsprechenden Werte im Feld Common Name (Allgemeiner Name) oder im Feld Subject Alternative Domain Names (Alternative Domainnamen des Subjekts) enthält.
- Weitere Ressourcen
-
Verwenden einer HTTPS Verbindung für den Zugriff auf Ihre Objekte
- Berichtsspalten
-
-
Status
-
Verteilungs-ID
-
Verteilungs-Domainname
-
Name des Zertifikats
-
Grund
-
CloudFront SSLZertifikat auf dem Origin Server
- Beschreibung
-
Überprüft Ihren Ursprungsserver auf SSL Zertifikate, die abgelaufen sind, bald ablaufen, fehlen oder die eine veraltete Verschlüsselung verwenden. Wenn ein Zertifikat eines dieser Probleme aufweist, CloudFront reagiert es auf Anfragen nach Ihren Inhalten mit dem HTTP Statuscode 502, Bad Gateway.
Zertifikate, die mit dem Hash-Algorithmus SHA -1 verschlüsselt wurden, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt. Abhängig von der Anzahl der SSL Zertifikate, die Sie mit Ihren CloudFront Distributionen verknüpft haben, kann diese Prüfung Ihre Rechnung bei Ihrem Webhosting-Anbieter um einige Cent pro Monat erhöhen, z. B. AWS wenn Sie Amazon EC2 oder Elastic Load Balancing als Quelle für Ihre CloudFront Distribution verwenden. Bei dieser Prüfung werden die Ursprungszertifikatskette und die Zertifizierungsstellen nicht überprüft. Sie können diese in Ihrer CloudFront Konfiguration überprüfen.
- Prüf-ID
-
N430c450f2
- Warnungskriterien
-
-
Rot: Ein SSL Zertifikat für Ihren Ursprung ist abgelaufen oder fehlt.
-
Gelb: Ein SSL Zertifikat über Ihre Herkunft läuft in den nächsten dreißig Tagen ab.
-
Gelb: Ein SSL Zertifikat für Ihren Ursprung wurde mit dem SHA -1 Hash-Algorithmus verschlüsselt.
-
Gelb: Ein SSL Zertifikat für Ihren Ursprung kann nicht gefunden werden. Die Verbindung ist möglicherweise aufgrund eines Timeouts oder anderer HTTPS Verbindungsprobleme fehlgeschlagen.
-
- Empfohlene Aktion
-
Erneuern Sie das Zertifikat für Ihren Ursprung, wenn es abgelaufen ist oder bald abläuft.
Fügen Sie ein Zertifikat hinzu, wenn keines vorhanden ist.
Ersetzen Sie ein Zertifikat, das mit dem Hash-Algorithmus SHA -1 verschlüsselt wurde, durch ein Zertifikat, das mit dem SHA -256-Hash-Algorithmus verschlüsselt wurde.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Verteilungs-ID
-
Verteilungs-Domänenname
-
Urspung
-
Grund
-
ELBListener-Sicherheit
- Beschreibung
-
Sucht nach klassischen Load Balancern mit Listenern, die nicht die empfohlenen Sicherheitskonfigurationen für verschlüsselte Kommunikation verwenden. AWS empfiehlt, ein sicheres Protokoll (HTTPSoderSSL), up-to-date Sicherheitsrichtlinien sowie sichere Chiffren und Protokolle zu verwenden. Wenn Sie ein sicheres Protokoll für eine Front-End-Verbindung (Client zu Load Balancer) verwenden, werden die Anfragen zwischen Ihren Clients und dem Load Balancer verschlüsselt. Dadurch wird eine sicherere Umgebung geschaffen. Elastic Load Balancing bietet vordefinierte Sicherheitsrichtlinien mit Chiffren und Protokollen, die die besten AWS Sicherheitsverfahren einhalten. Neue Versionen der vordefinierten Richtlinien werden veröffentlicht, sobald neue Konfigurationen verfügbar sind.
- Prüf-ID
-
a2sEc6ILx
- Warnungskriterien
-
-
Rot: Ein Load Balancer hat keine Listener, die mit einem sicheren Protokoll konfiguriert sind ()HTTPS.
-
Gelb: Ein Load HTTPS Balancer-Listener ist mit einer Sicherheitsrichtlinie konfiguriert, die eine schwache Verschlüsselung enthält.
-
Gelb: Ein Load HTTPS Balancer-Listener ist nicht mit der empfohlenen Sicherheitsrichtlinie konfiguriert.
-
Grün: Ein Load Balancer hat mindestens einen HTTPS Listener. AND Alle HTTPS Listener sind mit der empfohlenen Richtlinie konfiguriert.
-
- Empfohlene Aktion
-
Wenn der Datenverkehr zu Ihrem Load Balancer sicher sein muss, verwenden Sie entweder das HTTPS oder das SSL Protokoll für die Front-End-Verbindung.
Aktualisieren Sie Ihren Load Balancer auf die neueste Version der vordefinierten SSL Sicherheitsrichtlinie.
Verwenden Sie nur die empfohlenen Verschlüsselungsverfahren und Protokolle.
Weitere Informationen finden Sie unter Listener Configurations for Elastic Load Balancing (Listener-Konfigurationen für Elastic Load Balancing).
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Load-Balancer-Name
-
Load-Balancer-Port
-
Grund
-
Classic Load Balancer Balancer-Sicherheitsgruppen
- Beschreibung
-
Sucht nach Load Balancern, die mit einer Sicherheitsgruppe konfiguriert sind, die den Zugriff auf Ports ermöglicht, die nicht für den Load Balancer konfiguriert sind.
Wenn eine Sicherheitsgruppe den Zugriff auf Ports zulässt, die nicht für den Load Balancer konfiguriert sind, steigt das Risiko von Datenverlusten oder bösartigen Angriffen.
- Prüf-ID
-
xSqX82fQu
- Warnungskriterien
-
-
Gelb: Die Regeln für eingehende Nachrichten einer VPC Amazon-Sicherheitsgruppe, die einem Load Balancer zugeordnet ist, ermöglichen den Zugriff auf Ports, die nicht in der Listener-Konfiguration des Load Balancers definiert sind.
-
Grün: Die Regeln für eingehende Nachrichten einer VPC Amazon-Sicherheitsgruppe, die einem Load Balancer zugeordnet ist, erlauben keinen Zugriff auf Ports, die nicht in der Listener-Konfiguration des Load Balancers definiert sind.
-
- Empfohlene Aktion
-
Konfigurieren Sie die Sicherheitsgruppenregeln so, dass der Zugriff nur auf die Ports und Protokolle beschränkt wird, die in der Load Balancer-Listener-Konfiguration definiert sind, sowie auf das ICMP Protokoll zur Unterstützung von Path Discovery. MTU Siehe Listener für Ihren Classic Load Balancer und Sicherheitsgruppen für Load Balancer in a. VPC
Fehlt eine Sicherheitsgruppe, wenden Sie eine neue Sicherheitsgruppe auf den Load Balancer an. Erstellen Sie Sicherheitsgruppenregeln, die den Zugriff auf die Ports und Protokolle beschränken, die in der Listener-Konfiguration des Load Balancers festgelegt sind. Weitere Informationen finden Sie unter Sicherheitsgruppen für Load Balancer in a. VPC
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Load-Balancer-Name
-
Sicherheitsgruppe IDs
-
Grund
-
Exposed Access Keys
- Beschreibung
-
Überprüft beliebte Code-Repositorys auf Zugriffsschlüssel, die der Öffentlichkeit zugänglich gemacht wurden, und auf unregelmäßige Nutzung von Amazon Elastic Compute Cloud (AmazonEC2), die auf einen kompromittierten Zugriffsschlüssel zurückzuführen sein könnte.
Ein Zugangsschlüssel besteht aus einer Zugangsschlüssel-ID und dem entsprechenden geheimen Zugangsschlüssel. Ungeschützte Zugangsschlüssel stellen ein Sicherheitsrisiko für Ihr Konto und andere Nutzer dar, können zu überhöhten Gebühren durch unbefugte Aktivitäten oder Missbrauch führen und verstoßen gegen die AWS Kundenvereinbarung
. Wenn Ihr Zugangsschlüssel offengelegt wurde, ergreifen Sie sofort Maßnahmen zur Sicherung Ihres Kontos. Um Ihr Konto vor übermäßigen Gebühren zu schützen, wird Ihre Fähigkeit, einige AWS Ressourcen zu erstellen, AWS vorübergehend eingeschränkt. Dies macht Ihr Konto nicht sicher. Dies schränkt die unerlaubte Nutzung, die Ihnen in Rechnung gestellt werden könnte, nur teilweise ein.
Anmerkung
Diese Überprüfung garantiert nicht die Identifizierung offengelegter Zugriffsschlüssel oder kompromittierter EC2 Instanzen. Letztlich sind Sie für die Sicherheit Ihrer Zugangsschlüssel und AWS Ressourcen verantwortlich.
Die Ergebnisse dieser Prüfung werden automatisch aktualisiert und Aktualisierungsanforderungen sind nicht zulässig. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Wenn für einen Zugangsschlüssel eine Frist angegeben ist, AWS können Sie Ihren Schlüssel sperren, AWS-Konto sofern die unbefugte Nutzung bis zu diesem Datum nicht gestoppt wird. Wenn Sie der Meinung sind, dass es sich bei einer Warnung um einen Fehler handelt, wenden Sie sich an AWS Support
. Die unter angezeigten Informationen geben Trusted Advisor möglicherweise nicht den aktuellen Status Ihres Kontos wieder. Kompromittierte Zugriffsschlüssel werden erst als aufgelöst markiert, wenn alle kompromittierten Zugriffsschlüssel des Kontos aufgelöst wurden. Diese Datensynchronisierung kann bis zu einer Woche dauern.
- Prüf-ID
-
12Fnkpl8Y5
- Warnungskriterien
-
-
Rot: Potenziell gefährdet — AWS hat eine Zugriffsschlüssel-ID und einen entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet veröffentlicht und möglicherweise kompromittiert (verwendet) wurden.
-
Rot: Offengelegt — AWS hat eine Zugangsschlüssel-ID und den entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet offengelegt wurden.
-
Rot: Vermutlich — Eine unregelmäßige EC2 Nutzung durch Amazon weist darauf hin, dass ein Zugriffsschlüssel möglicherweise kompromittiert wurde, aber nicht als im Internet offengelegt identifiziert wurde.
-
- Empfohlene Aktion
-
Löschen Sie den betroffenen Zugriffsschlüssel schnellstmöglich. Wenn der Schlüssel einem IAM Benutzer zugeordnet ist, finden Sie weitere Informationen unter Zugriffsschlüssel für IAM Benutzer verwalten.
Überprüfen Sie, ob Ihr Konto unbefugt genutzt wurde. Melden Sie sich bei der AWS Management Console
an und überprüfen Sie jede Servicekonsole auf verdächtige Ressourcen. Achten Sie besonders auf die Ausführung von EC2 Amazon-Instances, Spot-Instance-Anfragen, Zugriffsschlüsseln und IAM Benutzern. Sie können die Gesamtnutzung auch in der Konsole für Fakturierung und Kostenmanagement überprüfen. - Weitere Ressourcen
- Berichtsspalten
-
-
Access Key ID
-
Benutzername: (IAM oder Root)
-
Art des Betrugs
-
Fall-ID
-
Aktualisierungszeitpunkt
-
Ort
-
Frist
-
Nutzung (USDpro Tag)
-
IAM-Zugriffsschlüssel-Rotation
- Beschreibung
-
Sucht nach aktiven IAM Zugangsschlüsseln, die in den letzten 90 Tagen nicht ausgetauscht wurden.
Wenn Sie Ihre Zugangsschlüssel regelmäßig wechseln, verringern Sie die Wahrscheinlichkeit, dass ein kompromittierter Schlüssel ohne Ihr Wissen für den Zugriff auf Ressourcen verwendet werden kann. Für die Zwecke dieser Prüfung ist das Datum und die Uhrzeit der letzten Rotation der Zeitpunkt, an dem der Zugangsschlüssel erstellt oder zuletzt aktiviert wurde. Die Nummer und das Datum des Zugriffsschlüssels stammen aus den
access_key_2_last_rotated
Informationenaccess_key_1_last_rotated
und den Informationen aus dem neuesten IAM Anmeldedatenbericht.Da die Regenerierungshäufigkeit eines Berichts mit Anmeldeinformationen eingeschränkt ist, spiegelt das Aktualisieren dieser Prüfung möglicherweise nicht die letzten Änderungen wider. Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto-Konto.
Um Zugriffsschlüssel erstellen und rotieren zu können, muss ein Benutzer über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Benutzern die Möglichkeit, ihre eigenen Passwörter, Zugriffsschlüssel und SSH Schlüssel zu verwalten.
- Prüf-ID
-
DqdJqYeRm5
- Warnungskriterien
-
-
Grün: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 90 Tagen rotiert.
-
Gelb: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren, aber vor mehr als 90 Tagen, rotiert.
-
Rot: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren nicht rotiert.
-
- Empfohlene Aktion
-
Rotieren Sie die Zugriffsschlüssel regelmäßig. Weitere Informationen finden Sie unter Rotieren von Zugriffsschlüsseln und Verwalten von Zugriffsschlüsseln für IAM Benutzer.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
IAMBenutzer
-
Zugriffsschlüssel
-
Letzte Rotation des Schlüssels
-
Grund
-
IAMPasswort-Richtlinie
- Beschreibung
-
Prüft die Passwortrichtlinie für Ihr Konto und warnt, wenn keine Passwortrichtlinie aktiviert ist oder wenn die Anforderungen an den Kennwortinhalt nicht aktiviert wurden.
Die Anforderungen an den Inhalt von Passwörtern erhöhen die allgemeine Sicherheit Ihrer AWS Umgebung, indem sie die Erstellung von sicheren Benutzerpasswörtern erzwingen. Wenn Sie eine Passwortrichtlinie erstellen oder ändern, wird die Änderung sofort für neue Benutzer erzwungen, aber bestehende Benutzer müssen ihre Passwörter nicht ändern.
- Prüf-ID
-
Yw2K9puPzl
- Warnungskriterien
-
-
Grün: Eine Passwortrichtlinie ist aktiviert und die empfohlene Inhaltsanforderung ist aktiviert.
-
Gelb: Eine Passwortrichtlinie ist aktiviert, aber mindestens eine Inhaltsanforderung ist nicht aktiviert.
-
- Empfohlene Aktion
-
Wenn einige Inhaltsanforderungen nicht aktiviert sind, sollten Sie die Aktivierung in Erwägung ziehen. Wenn keine Passwortrichtlinie aktiviert ist, erstellen und konfigurieren Sie eine. Weitere Informationen finden Sie unter Kontopasswortrichtlinien für IAM Benutzer einrichten.
Um auf die zugreifen zu IAM können AWS Management Console, benötigen Benutzer Passwörter. Als bewährte Methode wird AWS dringend empfohlen, anstelle der Erstellung von IAM Benutzern den Verbund zu verwenden. Mit dem Verbund können sich Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen bei der anmelden AWS Management Console. Verwenden Sie IAM Identity Center, um den Benutzer zu erstellen oder zu verbinden und dann eine IAM Rolle in einem Konto anzunehmen.
Weitere Informationen zu Identitätsanbietern und Verbund finden Sie im IAM Benutzerhandbuch unter Identitätsanbieter und Verbund. Weitere Informationen zu IAM Identity Center finden Sie im IAMIdentity Center-Benutzerhandbuch.
- Weitere Ressourcen
- Berichtsspalten
-
-
Kennwortrichtlinien
-
Großbuchstaben
-
Kleinschreibung
-
Zahl
-
Nicht-alphanumerisch
-
IAMSAML2.0 Identitätsanbieter
- Beschreibung
-
Überprüft, ob der für den Zugriff über einen Identity Provider (IdP) konfiguriert AWS-Konto ist, der SAML 2.0 unterstützt. Beachten Sie unbedingt die bewährten Methoden, wenn Sie Identitäten zentralisieren und Benutzer in einem externen Identitätsanbieter konfigurieren oder. AWS IAM Identity Center
- Prüf-ID
-
c2vlfg0p86
- Warnungskriterien
-
-
Gelb: Dieses Konto ist nicht für den Zugriff über einen Identitätsanbieter (IdP) konfiguriert, der SAML 2.0 unterstützt.
-
Grün: Dieses Konto ist für den Zugriff über einen Identitätsanbieter (IdP) konfiguriert, der SAML 2.0 unterstützt.
-
- Empfohlene Aktion
-
Aktivieren Sie IAM Identity Center für die AWS-Konto. Weitere Informationen finden Sie unter IAMIdentity Center aktivieren. Nachdem Sie IAM Identity Center aktiviert haben, können Sie allgemeine Aufgaben wie das Erstellen eines Berechtigungssatzes und das Zuweisen von Zugriff für Identity Center-Gruppen ausführen. Weitere Informationen finden Sie unter Allgemeine Aufgaben.
Es ist eine bewährte Methode, menschliche Benutzer in IAM Identity Center zu verwalten. Für kleinere Implementierungen können Sie jedoch kurzfristig den Verbundbenutzerzugriff IAM für menschliche Benutzer aktivieren. Weitere Informationen finden Sie unter Federation SAML2.0.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
AWS-Konto Id
-
Zeitpunkt der letzten Aktualisierung
-
MFAauf dem Root-Konto
- Beschreibung
-
Überprüft das Root-Konto und warnt, wenn die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert ist.
Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, Ihr Konto durch die Verwendung zu schützenMFA, bei der ein Benutzer bei der Interaktion mit den AWS Management Console und den zugehörigen Websites einen eindeutigen Authentifizierungscode von seiner MFA Hardware oder seinem virtuellen Gerät eingeben muss.
Anmerkung
Für Ihr AWS Organizations Verwaltungskonto ist AWS eine mehrstufige Authentifizierung (MFA) für den Root-Benutzer erforderlich, wenn er auf den AWS Management Console zugreift.
Für Ihre AWS Organizations Mitgliedskonten AWS empfiehlt die Verwendung vonMFA. Sie können auch eine AWS Organizations Service Control-Richtlinie (SCP) verwenden, um alle Root-Aktionen effektiv zu blockieren
. Weitere Informationen finden Sie unter Bewährte Methoden für Mitgliedskonten im AWS Organizations Benutzerhandbuch. - Prüf-ID
-
7DAFEmoDos
- Warnungskriterien
-
Rot: MFA ist für das Root-Konto nicht aktiviert.
- Empfohlene Aktion
-
Loggen Sie sich in Ihr Root-Konto ein und aktivieren Sie ein MFA Gerät. Weitere Informationen finden Sie unter MFAStatus überprüfen und ein MFA Gerät einrichten.
Sie können die Aktivierung jederzeit MFA auf Ihrem Konto vornehmen, indem Sie die Seite mit den Sicherheitsanmeldedaten aufrufen. Wählen Sie dazu das Drop-down-Menü für das Kontomenü in der AWS Management Console. AWSunterstützt mehrere branchenübliche Formen vonMFA, z. B. FIDO2 virtuelle Authentifikatoren. Dies gibt Ihnen die Flexibilität, ein MFA Gerät auszuwählen, das Ihren Anforderungen entspricht. Es hat sich bewährt, mehr als ein MFA Gerät zu registrieren, um die Ausfallsicherheit zu gewährleisten, falls eines Ihrer MFA Geräte verloren geht oder nicht mehr funktioniert.
- Weitere Ressourcen
-
Weitere Informationen finden Sie unter Allgemeine Schritte zur Aktivierung von MFA Geräten und Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto IAM Root-Benutzer (Konsole) im Benutzerhandbuch.
Root-Benutzerzugriffsschlüssel
- Beschreibung
-
Prüft, ob der Root-Benutzerzugriffsschlüssel vorhanden ist. Es wird dringend empfohlen, keine Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen. Da nur für wenige Aufgaben der Root-Benutzer erforderlich ist und Sie diese Aufgaben in der Regel selten ausführen, empfiehlt es sich, sich bei der anzumelden, AWS Management Console um die Root-Benutzeraufgaben auszuführen. Bevor Sie Zugriffsschlüssel erstellen, sollten Sie die Alternativen zu langfristigen Zugriffsschlüsseln prüfen.
- Prüf-ID
-
c2vlfg0f4h
- Warnungskriterien
-
Rot: Der Root-Benutzerzugriffsschlüssel ist vorhanden
Grün: Der Root-Benutzerzugriffsschlüssel ist nicht vorhanden
- Empfohlene Aktion
-
Löschen Sie die Zugriffsschlüssel für den Root-Benutzer. Siehe Löschen von Zugriffsschlüsseln für den Root-Benutzer. Diese Aufgabe muss vom Root-Benutzer ausgeführt werden. Sie können diese Schritte nicht als IAM Benutzer oder Rolle ausführen.
- Weitere Ressourcen
-
Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind
Zurücksetzen eines verlorenen oder vergessenen Root-Benutzerpassworts
- Berichtsspalten
-
-
Status
-
Konto-ID
-
Zeitpunkt der letzten Aktualisierung
-
Sicherheitsgruppen – Bestimmte Ports uneingeschränkt
- Beschreibung
-
Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff (0.0.0.0/0) auf bestimmte Ports erlauben.
Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust). Die Häfen mit dem höchsten Risiko sind rot gekennzeichnet, die Häfen mit einem geringeren Risiko sind gelb gekennzeichnet. Grün markierte Ports werden in der Regel von Anwendungen verwendet, die uneingeschränkten Zugriff erfordern, wie z. B. und. HTTP SMTP
Wenn Sie Ihre Sicherheitsgruppen absichtlich auf diese Weise konfiguriert haben, empfehlen wir zusätzliche Sicherheitsmaßnahmen zur Sicherung Ihrer Infrastruktur (z. B. IP-Tabellen).
Anmerkung
Bei dieser Prüfung werden nur die von Ihnen erstellten Sicherheitsgruppen und deren Regeln für eingehende Adressen ausgewertet. IPv4 Sicherheitsgruppen, AWS Directory Service die von erstellt wurden, sind rot oder gelb gekennzeichnet, stellen jedoch kein Sicherheitsrisiko dar und können ausgeschlossen werden. Weitere Informationen finden Sie unter. Trusted Advisor FAQ
- Prüf-ID
-
HCP4007jGY
- Warnungskriterien
-
-
Grün: Die Sicherheitsgruppe bietet uneingeschränkten Zugriff auf die Ports 80, 25, 443 oder 465.
-
Rot: Die Sicherheitsgruppe ist an eine Ressource angehängt und bietet uneingeschränkten Zugriff auf Port 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432 oder 5500.
-
Gelb: Die Sicherheitsgruppe bietet uneingeschränkten Zugriff auf jeden anderen Port.
-
Gelb: Die Sicherheitsgruppe ist an keine Ressource angehängt und bietet uneingeschränkten Zugriff.
-
- Empfohlene Aktion
-
Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.
Überprüfen und löschen Sie nicht verwendete Sicherheitsgruppen. Sie können AWS Firewall Manager es verwenden, um Sicherheitsgruppen zentral und in großem Umfang zu konfigurieren und zu verwalten. Weitere Informationen finden Sie in der AWS Firewall Manager Dokumentation. AWS-Konten
Erwägen Sie die Verwendung von Systems Manager Sessions Manager für den Zugriff auf EC2 Instanzen SSH RDP (Port 22) und (Port 3389). Mit dem Sessions Manager können Sie auf Ihre EC2 Instances zugreifen, ohne Port 22 und 3389 in der Sicherheitsgruppe zu aktivieren.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Name der Sicherheitsgruppe
-
Sicherheitsgruppen-ID
-
Protokoll
-
Von Port
-
An Port
-
Zuordnung
-
Sicherheitsgruppen – Uneingeschränkter Zugriff
- Beschreibung
-
Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff auf eine Ressource erlauben.
Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust).
Anmerkung
Bei dieser Prüfung werden nur die von Ihnen erstellten Sicherheitsgruppen und deren Regeln für eingehende Adressen ausgewertet. IPv4 Sicherheitsgruppen, AWS Directory Service die von erstellt wurden, sind rot oder gelb gekennzeichnet, stellen jedoch kein Sicherheitsrisiko dar und können ausgeschlossen werden. Weitere Informationen finden Sie unter. Trusted Advisor FAQ
- Prüf-ID
-
1iG5NDGVre
- Warnungskriterien
-
-
Grün: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit dem Suffix /0 für die Ports 25, 80 oder 443.
-
Gelb: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit dem Suffix /0 für andere Ports als 25, 80 oder 443, und die Sicherheitsgruppe ist an eine Ressource angehängt.
-
Rot: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit einem /0-Suffix für andere Ports als 25, 80 oder 443, und die Sicherheitsgruppe ist keiner Ressource zugeordnet.
-
- Empfohlene Aktion
-
Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.
Überprüfen und löschen Sie nicht verwendete Sicherheitsgruppen. Sie können AWS Firewall Manager es verwenden, um Sicherheitsgruppen zentral und in großem Umfang zu konfigurieren und zu verwalten. Weitere Informationen finden Sie in der AWS Firewall Manager Dokumentation. AWS-Konten
Erwägen Sie die Verwendung von Systems Manager Sessions Manager für den Zugriff auf EC2 Instanzen SSH RDP (Port 22) und (Port 3389). Mit dem Sessions Manager können Sie auf Ihre EC2 Instances zugreifen, ohne Port 22 und 3389 in der Sicherheitsgruppe zu aktivieren.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Name der Sicherheitsgruppe
-
Sicherheitsgruppen-ID
-
Protokoll
-
Von Port
-
An Port
-
IP-Bereich
-
Zuordnung
-