Sicherheit

Beschreibung

Prüft, ob die Aufbewahrungsfrist für CloudWatch Amazon-Protokollgruppen auf 365 Tage oder eine andere angegebene Anzahl festgelegt ist.

Standardmäßig werden Protokolle unbegrenzt aufbewahrt und laufen nicht ab. Sie können jedoch die Aufbewahrungsrichtlinien für jede Protokollgruppe so anpassen, dass sie den Branchenvorschriften oder gesetzlichen Anforderungen für einen bestimmten Zeitraum entsprechen.

Sie können die Mindestaufbewahrungszeit und die Namen der Protokollgruppen mithilfe der MinRetentionTimeParameter LogGroupNamesund in Ihren AWS Config Regeln angeben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz186

Quelle

AWS Config Managed Rule: cw-loggroup-retention-period-check

Warnungskriterien

Gelb: Die Aufbewahrungsdauer einer CloudWatch Amazon-Protokollgruppe liegt unter der gewünschten Mindestanzahl von Tagen.

Empfohlene Aktion

Konfigurieren Sie eine Aufbewahrungsfrist von mehr als 365 Tagen für Ihre in Amazon CloudWatch Logs gespeicherten Protokolldaten, um die Compliance-Anforderungen zu erfüllen.

Weitere Informationen finden Sie unter Aufbewahrung von Protokolldaten ändern in CloudWatch Logs.

Weitere Ressourcen

Änderung der Aufbewahrung von CloudWatch Protokollen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die SQL Serverversionen für Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die in den letzten 24 Stunden ausgeführt wurden. Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede SQL Serverversion bietet 10 Jahre Support, darunter 5 Jahre Standardsupport und 5 Jahre erweiterten Support. Nach dem Ende des Supports erhält die SQL Serverversion keine regelmäßigen Sicherheitsupdates. Das Ausführen von Anwendungen mit nicht unterstützten SQL Serverversionen kann Sicherheits- oder Compliance-Risiken mit sich bringen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Qsdfp3A4L3

Warnungskriterien

Rot: Eine EC2 Instanz hat eine SQL Serverversion, deren Support abgelaufen ist.
Gelb: Eine EC2 Instanz hat eine SQL Serverversion, deren Support in 12 Monaten ausläuft.

Empfohlene Aktion

Um Ihre SQL Server-Workloads zu modernisieren, sollten Sie ein Refactoring auf AWS Cloud native Datenbanken wie Amazon Aurora in Betracht ziehen. Weitere Informationen finden Sie unter Windows-Workloads modernisieren mit. AWS

Um zu einer vollständig verwalteten Datenbank zu wechseln, sollten Sie eine Umstellung auf Amazon Relational Database Service (Amazon) in Betracht ziehen. RDS Weitere Informationen finden Sie unter Amazon RDS for SQL Server.

Um Ihren SQL Server bei Amazon zu aktualisierenEC2, sollten Sie das Automation Runbook verwenden, um Ihr Upgrade zu vereinfachen. Weitere Informationen finden Sie in der AWS Systems Manager -Dokumentation.

Wenn Sie Ihren SQL Server bei Amazon nicht aktualisieren könnenEC2, sollten Sie das End-of-Support-Migrationsprogramm (EMP) für Windows Server in Betracht ziehen. Weitere Informationen finden Sie auf der EMP Website.

Weitere Ressourcen

Berichtsspalten

Status
Region
Instance-ID
SQLServerversion
Supportzyklus
Ende des Supports
Zeitpunkt der letzten Aktualisierung

Beschreibung

Diese Prüfung warnt Sie, wenn die Versionen das Ende des Supports erreicht haben oder kurz davor stehen. Jede Windows-Server-Version bietet 10 Jahre Support. Dies umfasst 5 Jahre Mainstream-Support und 5 Jahre erweiterten Support. Nach dem Ende des Supports erhält die Windows-Server-Version keine regelmäßigen Sicherheitsupdates mehr. Wenn Sie Anwendungen mit nicht unterstützten Windows-Server-Versionen ausführen, riskieren Sie die Sicherheit oder Konformität dieser Anwendungen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Qsdfp3A4L4

Warnungskriterien

Rot: Eine EC2 Instance hat eine Windows Server-Version, deren Support abgelaufen ist (Windows Server 2003, 2003 R2, 2008 und 2008 R2).
Gelb: Eine EC2 Instanz hat eine Windows Server-Version, deren Support in weniger als 18 Monaten ausläuft (Windows Server 2012 und 2012 R2).

Empfohlene Aktion

Um Ihre Windows Server-Workloads zu modernisieren, sollten Sie die verschiedenen Optionen in Betracht ziehen, die unter Windows-Workloads modernisieren mit verfügbar sind. AWS

Um Ihre Windows-Server-Workloads für die Ausführung auf neueren Versionen von Windows Server zu aktualisieren, können Sie ein Automatisierungs-Runbook verwenden. Weitere Informationen finden Sie in der AWS -Systems-Manager-Dokumentation.

Bitte befolgen Sie die folgenden Schritte:

Aktualisieren Sie die Windows Server-Version
Nach dem Upgrade müssen Sie das System anhalten und wieder starten
Wenn Sie es verwendenEC2Config, migrieren Sie bitte zu EC2Launch

Berichtsspalten

Status
Region
Instance-ID
Windows-Server-Version
Supportzyklus
Ende des Supports
Zeitpunkt der letzten Aktualisierung

Beschreibung

Durch diese Überprüfung werden Sie benachrichtigt, wenn die Versionen kurz vor dem Ende des Standard-Supports stehen oder dieses bereits erreicht haben. Es ist wichtig, Maßnahmen zu ergreifen — entweder durch eine Migration zur nächsten Version LTS oder durch ein Upgrade auf Ubuntu Pro. Nach dem Ende des Supports erhalten Ihre LTS 18.04-Computer keine Sicherheitsupdates mehr. Mit einem Ubuntu Pro-Abonnement kann Ihre Ubuntu LTS 18.04-Bereitstellung bis 2028 die erweiterte Sicherheitswartung () ESM erhalten. Sicherheitslücken, die weiterhin ungepatcht werden, machen Ihre Systeme anfällig für Hacker und die Gefahr schwerwiegender Sicherheitslücken.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c1dfprch15

Warnungskriterien

Rot: Eine EC2 Amazon-Instance hat eine Ubuntu-Version, die das Ende der Standardunterstützung erreicht hat (Ubuntu 18.04LTS, 18.04.1, 18.04.2, 18.04.3LTS, 18.04.4LTS, 18.04.5 und 18.04.6LTS). LTS LTS LTS

Gelb: Eine EC2 Amazon-Instance hat eine Ubuntu-Version, deren Standardunterstützung in weniger als 6 Monaten ausläuft (Ubuntu 20.04LTS, 20.04.1, 20.04.2, 20.04.3, 20.04.4LTS, LTS 20.04.5 und LTS 20.04.6). LTS LTS LTS

Grün: Alle EC2 Amazon-Instances sind konform.

Empfohlene Aktion

Um die Ubuntu LTS 18.04-Instances auf eine unterstützte LTS Version zu aktualisieren, folgen Sie bitte den in diesem Artikel genannten Schritten. Um die Ubuntu LTS 18.04-Instanzen auf Ubuntu Pro zu aktualisieren, besuchen Sie die AWS License Manager Konsole und folgen Sie den im Benutzerhandbuch genannten Schritten.AWS License Manager Sie können sich auch den Ubuntu-Blog ansehen, der eine schrittweise Demo zum Upgrade von Ubuntu-Instanzen auf Ubuntu Pro zeigt.

Weitere Ressourcen

Informationen zu den Preisen erhalten Sie unter AWS Support.

Berichtsspalten

Status
Region
Ubuntu LTS-Version
Voraussichtliches Ende des Support
Instance-ID
Supportzyklus
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob das EFS Amazon-Dateisystem data-in-transit verschlüsselt eingehängt ist. AWS empfiehlt Kunden, data-in-transit Verschlüsselung für alle Datenflüsse zu verwenden, um Daten vor versehentlicher Offenlegung oder unbefugtem Zugriff zu schützen. Amazon EFS empfiehlt Kunden, die Mount-Einstellung '-o tls' mit dem EFS Amazon-Mount-Helper zu verwenden, um Daten während der Übertragung mit Version 1.2 zu verschlüsseln. TLS

Prüf-ID

c1dfpnchv1

Warnungskriterien

Gelb: Ein oder mehrere NFS Clients für Ihr EFS Amazon-Dateisystem verwenden nicht die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.

Grün: Alle NFS Clients für Ihr EFS Amazon-Dateisystem verwenden die empfohlenen Mount-Einstellungen, die data-in-transit Verschlüsselung ermöglichen.

Empfohlene Aktion

Um die data-in-transit Verschlüsselungsfunktion von Amazon nutzen zu könnenEFS, empfehlen wir Ihnen, Ihr Dateisystem mithilfe des EFS Amazon-Mount-Helpers und der empfohlenen Mount-Einstellungen erneut bereitzustellen.

Anmerkung

Einige Linux-Distributionen enthalten standardmäßig keine Version von Stunnel, die TLS Funktionen unterstützt. Wenn Sie eine Linux-Distribution verwenden, die nicht unterstützt wird (siehe Unterstützte Distributionen im Amazon Elastic File System-Benutzerhandbuch), empfiehlt es sich, sie zu aktualisieren, bevor Sie sie mit der empfohlenen Mount-Einstellung erneut mounten.

Weitere Ressourcen

Verschlüsselung von Daten während der Übertragung

Berichtsspalten

Status
Region
EFSDateisystem-ID
AZsmit unverschlüsselten Verbindungen
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die Berechtigungseinstellungen für Ihre Amazon Elastic Block Store (AmazonEBS) -Volume-Snapshots und warnt Sie, wenn Snapshots öffentlich zugänglich sind.

Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Um einen Snapshot nur für bestimmte Benutzer oder Konten freizugeben, markieren Sie den Snapshot als privat. Geben Sie dann den oder die Benutzer an, mit denen Sie die Snapshot-Daten teilen möchten. Beachten Sie, dass Ihre öffentlichen Schnappschüsse nicht öffentlich zugänglich sind und nicht in den Ergebnissen dieser Prüfung erscheinen, wenn Sie „Öffentlichen Zugriff blockieren“ im Modus „Alle Freigaben blockieren“ aktiviert haben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.

Prüf-ID

ePs02jT06w

Warnungskriterien

Rot: Der EBS Volume-Snapshot ist öffentlich zugänglich.

Empfohlene Aktion

Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Einen EBS Amazon-Snapshot teilen. Verwenden Sie Block Public Access for EBS Snapshots, um die Einstellungen zu steuern, die den öffentlichen Zugriff auf Ihre Daten ermöglichen. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Verwenden Sie ein Runbook in der Konsole, um die Berechtigungen für Ihre Snapshots direkt zu ändern. AWS Systems Manager Weitere Informationen finden Sie unter AWSSupport-ModifyEBSSnapshotPermission.

Weitere Ressourcen

EBSAmazon-Schnappschüsse

Berichtsspalten

Status
Region
Volume-ID
Snapshot-ID
Beschreibung

Beschreibung

Amazon RDS unterstützt die Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit RDS Amazon-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.

Wenn die Verschlüsselung beim Erstellen eines Aurora-DB-Clusters nicht aktiviert ist, müssen Sie einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.

Prüf-ID

c1qf5bt005

Warnungskriterien

Rot: Für Amazon RDS Aurora-Ressourcen ist keine Verschlüsselung aktiviert.

Empfohlene Aktion

Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihren DB-Cluster.

Weitere Ressourcen

Sie können die Verschlüsselung beim Erstellen einer DB-Instance aktivieren oder eine Problemumgehung verwenden, um die Verschlüsselung auf einer aktiven DB-Instance zu aktivieren. Sie können einen entschlüsselten DB-Cluster nicht in einen verschlüsselten DB-Cluster umwandeln. Sie können jedoch einen entschlüsselten Snapshot in einem verschlüsselten DB-Cluster wiederherstellen. Wenn Sie aus dem entschlüsselten Snapshot wiederherstellen, müssen Sie einen AWS KMS Schlüssel angeben.

Weitere Informationen finden Sie unter Verschlüsseln von Amazon Aurora-Ressourcen.

Berichtsspalten

Status
Region
Eine Ressource
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Auf Ihren Datenbankressourcen wird nicht die neueste DB-Engine-Nebenversion ausgeführt. Die neueste Nebenversion enthält die neuesten Sicherheitsupdates und andere Verbesserungen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.

Prüf-ID

c1qf5bt003

Warnungskriterien

Gelb: Auf RDS Amazon-Ressourcen wird nicht die neueste kleinere DB-Engine-Version ausgeführt.

Empfohlene Aktion

Führen Sie ein Upgrade auf die neueste Engine-Version durch.

Weitere Ressourcen

Wir empfehlen, dass Sie Ihre Datenbank mit der neuesten DB-Engine-Nebenversion verwalten, da diese Version die neuesten Sicherheits- und Funktionskorrekturen enthält. Die Upgrades der DB-Engine-Nebenversionen enthalten nur die Änderungen, die mit früheren Nebenversionen derselben Hauptversion der DB-Engine abwärtskompatibel sind.

Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.

Berichtsspalten

Status
Region
Ressource
Name des Motors
Aktuelle Motorversion
Empfohlener Wert
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die Berechtigungseinstellungen für Ihre Amazon Relational Database Service (AmazonRDS) DB-Snapshots und warnt Sie, wenn Snapshots als öffentlich markiert sind.

Wenn Sie einen Snapshot veröffentlichen, gewähren Sie allen AWS-Konten Benutzern Zugriff auf alle Daten im Snapshot. Wenn Sie einen Snapshot nur für bestimmte Benutzer oder Konten freigeben möchten, markieren Sie den Snapshot als privat. Geben Sie dann den Benutzer oder die Konten an, für die Sie die Snapshot-Daten freigeben möchten.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden.

Prüf-ID

rSs93HQwa1

Warnungskriterien

Rot: Der RDS Amazon-Snapshot ist als öffentlich markiert.

Empfohlene Aktion

Sofern Sie nicht sicher sind, dass Sie alle Daten im Snapshot mit allen AWS-Konten Benutzern teilen möchten, ändern Sie die Berechtigungen: Markieren Sie den Snapshot als privat und geben Sie dann die Konten an, denen Sie Berechtigungen erteilen möchten. Weitere Informationen finden Sie unter Freigeben eines DB-Snapshots oder DB-Cluster-Snapshots. Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Um die Berechtigungen für Ihre Snapshots direkt zu ändern, können Sie ein Runbook in der AWS Systems Manager Konsole verwenden. Weitere Informationen finden Sie unter AWSSupport-ModifyRDSSnapshotPermission.

Weitere Ressourcen

Sicherung und Wiederherstellung von Amazon RDS DB-Instances

Berichtsspalten

Status
Region
DB-Instance oder Cluster-ID
Snapshot-ID

Beschreibung

Überprüft die Sicherheitsgruppenkonfigurationen für Amazon Relational Database Service (AmazonRDS) und warnt, wenn eine Sicherheitsgruppenregel zu freizügigen Zugriff auf Ihre Datenbank gewährt. Die empfohlene Konfiguration für eine Sicherheitsgruppenregel besteht darin, den Zugriff nur von bestimmten Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen oder von einer bestimmten IP-Adresse aus zuzulassen.

Anmerkung

Bei dieser Prüfung werden nur Sicherheitsgruppen ausgewertet, bei denen es sich um angehängte toAmazon RDS Instances handelt, die draußen auf einem Amazon VPC ausgeführt werden.

Prüf-ID

nNauJisYIT

Warnungskriterien

Gelb: Eine DB-Sicherheitsgruppenregel verweist auf eine EC2 Amazon-Sicherheitsgruppe, die globalen Zugriff auf einen der folgenden Ports gewährt: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Rot: Eine DB-Sicherheitsgruppenregel gewährt globalen Zugriff (das Regelsuffix ist /0). CIDR
Grün: Eine DB-Sicherheitsgruppe enthält keine permissiven Regeln.

Empfohlene Aktion

EC2-Classic wurde am 15. August 2022 eingestellt. Es wird empfohlen, Ihre RDS Amazon-Instances in eine zu verschieben VPC und EC2 Amazon-Sicherheitsgruppen zu verwenden. Weitere Informationen zum Verschieben Ihrer DB-Instance in eine finden Sie VPC unter Verschieben einer DB-Instance, die sich nicht in einer befindet, VPC in eine VPC.

Wenn Sie Ihre RDS Amazon-Instances nicht zu a migrieren könnenVPC, überprüfen Sie Ihre Sicherheitsgruppenregeln und beschränken Sie den Zugriff auf autorisierte IP-Adressen oder IP-Bereiche. Um eine Sicherheitsgruppe zu bearbeiten, verwenden Sie A uthorizeDBSecurity GroupIngress API oder AWS Management Console. Weitere Informationen finden Sie unter Arbeiten mit DB-Sicherheitsgruppen.

Weitere Ressourcen

Berichtsspalten

Status
Region
RDSName der Sicherheitsgruppe
Regel für eingehenden Datenverkehr
Grund

Beschreibung

Amazon RDS unterstützt die Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe der Schlüssel, in denen Sie verwalten AWS Key Management Service. Auf einer aktiven DB-Instance mit RDS Amazon-Verschlüsselung werden die im Speicher gespeicherten Daten verschlüsselt, ähnlich wie bei automatisierten Backups, Read Replicas und Snapshots.

Wenn die Verschlüsselung beim Erstellen einer DB-Instance nicht aktiviert ist, müssen Sie eine verschlüsselte Kopie des entschlüsselten Snapshots wiederherstellen, bevor Sie die Verschlüsselung aktivieren.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die RDS Amazon-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die RDS Amazon-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon Management Console noch in Trusted Advisor der Amazon RDS Management Console verfügbar.

Prüf-ID

c1qf5bt006

Warnungskriterien

Rot: Amazon RDS Amazon-Ressourcen ist keine Verschlüsselung aktiviert.

Empfohlene Aktion

Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand für Ihre DB-Instance.

Weitere Ressourcen

Sie können eine DB-Instance nur verschlüsseln, wenn Sie die DB-Instance erstellen. Um eine bestehende aktive DB-Instance zu verschlüsseln:

Erstellen Sie eine verschlüsselte Kopie der ursprünglichen DB-Instance

Erstellen Sie einen Snapshot Ihrer DB-Instance.
Erstellen Sie eine verschlüsselte Kopie des in Schritt 1 erstellten Snapshots.
Stellen Sie eine DB-Instance aus dem verschlüsselten Snapshot wieder her.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Berichtsspalten

Status
Region
Eine Ressource
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die Amazon Route 53 Hosted Zones mit CNAME Datensätzen, die direkt auf Amazon S3 S3-Bucket-Hostnamen verweisen, und warnt, wenn Ihr Name CNAME nicht mit Ihrem S3-Bucket-Namen übereinstimmt.

Prüf-ID

c1ng44jvbm

Warnungskriterien

Rot: In der Amazon Route 53 Hosted Zone gibt es CNAME Datensätze, die auf nicht übereinstimmende S3-Bucket-Hostnamen hinweisen.

Grün: In Ihrer Amazon Route 53 Hosted Zone wurden keine nicht übereinstimmenden CNAME Datensätze gefunden.

Empfohlene Aktion

Wenn Sie CNAME Datensätze auf S3-Bucket-Hostnamen verweisen, müssen Sie sicherstellen, dass für jeden von Ihnen konfigurierten Datensatz CNAME oder Alias-Datensatz ein passender Bucket vorhanden ist. Auf diese Weise vermeiden Sie das Risiko, dass Ihre CNAME Datensätze gefälscht werden. Sie verhindern auch, dass unbefugte AWS Benutzer fehlerhafte oder bösartige Webinhalte mit Ihrer Domain hosten.

Um zu vermeiden, dass CNAME Datensätze direkt auf S3-Bucket-Hostnamen verweisen, sollten Sie Origin Access Control (OAC) verwenden, um über Amazon CloudFront auf Ihre S3-Bucket-Webressourcen zuzugreifen.

Weitere Informationen zur Verknüpfung CNAME mit einem Amazon S3-Bucket-Hostnamen finden Sie unter Amazon S3 URLs mit Datensätzen anpassen. CNAME

Weitere Ressourcen

Berichtsspalten

Status
ID der gehosteten Zone
Gehostete Zone ARN
Passende CNAME Datensätze
Nicht übereinstimmende Datensätze CNAME
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft für jeden MX-Eintrag, ob ein TXT zugeordneter Datensatz einen gültigen SPF Wert enthält. Der TXT Datensatzwert muss mit „v=spf1" beginnen. SPFDatensatztypen werden von der Internet Engineering Task Force () als veraltet eingestuft. IETF Bei Route 53 hat es sich bewährt, einen TXT Datensatz anstelle eines Datensatzes zu verwenden. SPF Trusted Advisor meldet dieses Häkchen grün, wenn einem MX-Eintrag mindestens ein TXT Datensatz mit einem gültigen SPF Wert zugeordnet ist.

Prüf-ID

c9D319e7sG

Warnungskriterien

Grün: Einem MX-Ressourcendatensatz ist ein TXT Ressourceneintrag zugeordnet, der einen gültigen SPF Wert enthält.
Gelb: Ein MX-Ressourcendatensatz hat einen TXT SPF OR-Ressourceneintrag, der einen gültigen SPF Wert enthält.
Rot: Ein MX-Ressourcendatensatz hat keinen TXT SPF OR-Ressourceneintrag, der einen gültigen SPF Wert enthält.

Empfohlene Aktion

Erstellen Sie für jeden MX-Ressourcendatensatz einen TXT Ressourcendatensatz, der einen gültigen SPF Wert enthält. Weitere Informationen finden Sie unter Sender Policy Framework: SPF Datensatzsyntax und Erstellen von Ressourcendatensätzen mithilfe der Amazon Route 53-Konsole.

Weitere Ressourcen

Berichtsspalten

Name der gehosteten Zone
ID der gehosteten Zone
Name des Ressourcendatensatzes
Status

Beschreibung

Überprüft Buckets in Amazon Simple Storage Service (Amazon S3), die über offene Zugriffsberechtigungen verfügen oder die jedem authentifizierten Benutzer AWS Zugriff gewähren.

Diese Prüfung untersucht explizite Bucket-Berechtigungen sowie Bucket-Richtlinien, die diese Berechtigungen außer Kraft setzen können. Es wird nicht empfohlen, allen Benutzern Listenzugriffsrechte für einen Amazon S3-Bucket zu gewähren. Diese Berechtigungen können dazu führen, dass unbeabsichtigte Benutzer sehr häufig Objekte in den Bucket aufnehmen, was zu höheren Gebühren als erwartet führen kann. Berechtigungen, die jedem Zugriff auf den Upload und Löschen gewähren, können zu Sicherheitslücken in Ihrem Bucket führen.

Prüf-ID

Pfx0RwqBli

Warnungskriterien

Gelb: Der Bucket ACL ermöglicht den Listenzugriff für „Jeder“ oder „Jeder authentifizierte Benutzer AWS “.
Gelb: Eine Bucket-Richtlinie ermöglicht jede Art von offenem Zugriff.
Gelb: Die Bucket-Richtlinie enthält Anweisungen, die öffentlichen Zugriff gewähren. Die Einstellung Block public and cross-account access to buckets that have public policies (Öffentlichen und kontoübergreifenden Zugriff auf Buckets mit öffentlichen Richtlinien blockieren) ist aktiviert, sodass nur autorisierte Benutzer dieses Kontos Zugriff haben, bis die öffentlichen Anweisungen entfernt werden.
Gelb: ist Trusted Advisor nicht berechtigt, die Richtlinie zu überprüfen, oder die Richtlinie konnte aus anderen Gründen nicht bewertet werden.
Rot: Der Bucket ACL ermöglicht den Upload- und Löschzugriff für „Jeder“ oder „Jeder authentifizierte AWS Benutzer“.
Grün: Alle Amazon S3 sind auf der Grundlage der ACL und/oder Bucket-Richtlinie konform.

Empfohlene Aktion

Wenn ein Bucket den offenen Zugriff zulässt, müssen Sie überprüfen, ob der offene Zugriff wirklich erforderlich ist. Um beispielsweise eine statische Website zu hosten, können Sie Amazon verwenden, CloudFront um die auf Amazon S3 gehosteten Inhalte bereitzustellen. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf anAmazon S3 Origin im Amazon CloudFront Developer Guide. Aktualisieren Sie nach Möglichkeit die Bucket-Berechtigungen, um den Zugriff auf den Eigentümer oder bestimmte Benutzer zu beschränken. Verwenden Sie Amazon S3 Block Public Access, um die Einstellungen für öffentlichen Zugriff auf Ihre Daten zu steuern. Weitere Informationen finden Sie unter Einrichten der Zugriffsberechtigungen für Bucket und Objekt.

Weitere Ressourcen

Verwaltung der Zugriffsberechtigungen für Ihre Amazon-S3-Ressourcen

Konfiguration der Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre Amazon S3 S3-Buckets

Berichtsspalten

Status
Name der Region
Parameter für die Region API
Bucket-Name
ACLErlaubt Liste
ACLErlaubt Hochladen/Löschen
Richtlinie erlaubt Zugriff

Beschreibung

Überprüft, ob bei Ihren VPC Peering-Verbindungen die DNS Auflösung sowohl für den Akzeptor als auch für den Anforderer aktiviert ist. VPCs

DNSDie Auflösung für eine VPC Peering-Verbindung ermöglicht die Auflösung von öffentlichen DNS Hostnamen in private IPv4 Adressen, wenn diese von Ihnen abgefragt werden. VPC Dies ermöglicht die Verwendung von DNS Namen für die Kommunikation zwischen Ressourcen im Peered-Modus. VPCs DNSDie Auflösung Ihrer VPC Peering-Verbindungen macht die Anwendungsentwicklung und -verwaltung einfacher und weniger fehleranfällig und stellt sicher, dass Ressourcen immer privat über die Peering-Verbindung kommunizieren. VPC

Sie können das mithilfe der VPC IDs vpcIdsParameter in Ihren Regeln angeben. AWS Config

Weitere Informationen finden Sie unter Aktivieren der DNS Auflösung für eine VPC Peering-Verbindung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz124

Quelle

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Warnungskriterien

Gelb: Die DNS Auflösung ist nicht sowohl für den Akzeptor als auch für den Anforderer VPCs in einer VPC Peering-Verbindung aktiviert.

Empfohlene Aktion

Aktivieren Sie die DNS Auflösung für Ihre VPC Peering-Verbindungen.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob die Zielgruppen von Application Load Balancer (ALB) HTTPS das Protokoll verwenden, um die übertragene Kommunikation für Back-End-Zieltypen von Instance oder IP zu verschlüsseln. HTTPSAnfragen zwischen ALB und Back-End-Zielen tragen dazu bei, die Vertraulichkeit der Daten während der Übertragung zu wahren.

Prüf-ID

c2vlfg0p1w

Warnungskriterien

Gelb: Application Load Balancer Balancer-Zielgruppe, die verwendetHTTP.
Grün: Application Load Balancer Balancer-Zielgruppe, die verwendetHTTPS.

Empfohlene Aktion

Konfigurieren Sie die Back-End-Zieltypen von Instance oder IP so, dass sie den HTTPS Zugriff unterstützen, und ändern Sie die Zielgruppe so, dass sie HTTPS das Protokoll zur Verschlüsselung der Kommunikation zwischen Instance- oder IP-Zieltypen ALB und Back-End-Zieltypen verwendet.

Weitere Ressourcen

Erzwingen Sie die Verschlüsselung bei der Übertragung

Zieltypen von Application Load Balancer

Konfiguration des Application Load Balancer Balancer-Routings

Datenschutz bei Elastic Load Balancing

Berichtsspalten

Status
Region
ALBArn
ALBName
ALBVPCId
Zielgruppe Arn
Name der Zielgruppe
Protokoll der Zielgruppe
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob AWS Backup Tresore über eine zugeordnete ressourcenbasierte Richtlinie verfügen, die das Löschen von Wiederherstellungspunkten verhindert.

Die ressourcenbasierte Richtlinie verhindert das unerwartete Löschen von Wiederherstellungspunkten, wodurch Sie eine Zugriffskontrolle mit den geringsten Berechtigungen auf Ihre Sicherungsdaten durchsetzen können.

Sie können im principalArnListParameter Ihrer Regeln angeben AWS Identity and Access Management ARNs, dass die Regel nicht einchecken soll. AWS Config

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz152

Quelle

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Warnungskriterien

Gelb: Es gibt AWS Backup Tresore, für die es keine ressourcenbasierte Richtlinie gibt, um das Löschen von Wiederherstellungspunkten zu verhindern.

Empfohlene Aktion

Erstellen Sie ressourcenbasierte Richtlinien für Ihre AWS Backup Tresore, um das unerwartete Löschen von Wiederherstellungspunkten zu verhindern.

Die Richtlinie muss eine „Deny“ -Anweisung mit den Berechtigungen backup:DeleteRecoveryPoint, backup: UpdateRecoveryPointLifecycle und backup: enthalten. PutBackupVaultAccessPolicy

Weitere Informationen finden Sie unter Festlegen von Zugriffsrichtlinien für Sicherungstresore.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft Ihre Verwendung von AWS CloudTrail. CloudTrail bietet einen besseren Einblick in Ihre Aktivitäten, AWS-Konto indem Informationen über AWS API Anrufe aufgezeichnet werden, die auf dem Konto getätigt wurden. Anhand dieser Protokolle können Sie beispielsweise feststellen, welche Aktionen ein bestimmter Benutzer während eines bestimmten Zeitraums durchgeführt hat oder welche Benutzer während eines bestimmten Zeitraums Aktionen auf einer bestimmten Ressource durchgeführt haben.

Da CloudTrail Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket übermittelt CloudTrail werden, sind Schreibberechtigungen für den Bucket erforderlich. Wenn ein Trail für alle Regionen gilt (die Standardeinstellung beim Erstellen eines neuen Trails), wird der Trail mehrfach im Trusted Advisor -Bericht angezeigt.

Prüf-ID

vjafUGJ9H0

Warnungskriterien

Gelb: CloudTrail meldet Fehler bei der Protokollzustellung für einen Trail.
Rot: Für eine Region wurde kein Trail erstellt oder die Protokollierung ist für einen Trail deaktiviert.

Empfohlene Aktion

Um einen Trail zu erstellen und die Protokollierung von der Konsole aus zu starten, rufen Sie die AWS CloudTrail -Konsole auf.

Informationen zur Protokollierung finden Sie unter Anhalten und Starten der Protokollierung für einen Trail.

Wenn Sie Fehler bei der Protokollzustellung erhalten, stellen Sie sicher, dass der Bucket vorhanden ist und dass die erforderliche Richtlinie dem Bucket angefügt ist. Weitere Informationen finden Sie unter Amazon-S3-Bucket-Richtlinien.

Weitere Ressourcen

Berichtsspalten

Status
Region
Trail-Name
Status der Protokollierung
Bucket-Name
Datum der letzten Bereitstellung

Beschreibung

Sucht nach Lambda-Funktionen, deren LATEST $-Version so konfiguriert ist, dass sie eine Laufzeit verwendet, die bald veraltet ist oder veraltet ist. Veraltete Laufzeiten kommen nicht für Sicherheitsupdates oder technischen Support in Frage

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Veröffentlichte Versionen der Lambda-Funktion sind unveränderlich, was bedeutet, dass sie aufgerufen, aber nicht aktualisiert werden können. Nur die $LATEST-Version der Lambda-Funktion kann aktualisiert werden. Weitere Informationen finden Sie unter Versionen der Lambda-Funktion.

Prüf-ID

L4dfs2Q4C5

Warnungskriterien

Rot: Die LATEST $-Version der Funktion ist so konfiguriert, dass sie eine Laufzeit verwendet, die bereits veraltet ist.
Gelb: Die LATEST $-Version der Funktion läuft auf einer Runtime, die innerhalb von 180 Tagen veraltet sein wird.

Empfohlene Aktion

Wenn Ihre Funktionen mit einer Laufzeit ausgeführt werden, die bald veraltet ist, sollten Sie sich auf die Migration zu einer unterstützten Laufzeit vorbereiten. Weitere Informationen finden Sie in der Richtlinie für den Laufzeitablauf.

Wir empfehlen Ihnen, frühere Funktionsversionen zu löschen, die Sie nicht mehr verwenden.

Weitere Ressourcen

Lambda-Laufzeiten

Berichtsspalten

Status
Region
Funktion ARN
Laufzeit
Tage bis zur Veraltung
Datum der Veraltung
Durchschnittliche tägliche Aufrufe
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft Ihre Workloads in der Sicherheitssäule auf Probleme mit hohem Risiko (HRIs). Diese Prüfung basiert auf Ihren AWS-Well Architected-Beurteilungen. Ihre Prüfergebnisse hängen davon ab, ob Sie die Workload-Bewertung mit AWS Well-Architected durchgeführt haben.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

Wxdfp4B1L3

Warnungskriterien

Rot: In der Sicherheitssäule von AWS Well-Architected wurde mindestens ein aktives Problem mit hohem Risiko identifiziert.
Grün: In der Sicherheitssäule von AWS Well-Architected wurden keine aktiven Probleme mit hohem Risiko festgestellt.

Empfohlene Aktion

AWS Well-Architected hat bei Ihrer Workload-Evaluierung Probleme mit hohem Risiko erkannt. Diese Probleme bieten Möglichkeiten, Risiken zu reduzieren und Geld zu sparen. Melden Sie sich bei AWS Well-Architected an, um Ihre Antworten zu überprüfen und Maßnahmen zur Lösung der aktiven Probleme zu ergreifen.

Berichtsspalten

Status
Region
Arbeitslast ARN
Name der Workload
Name des Reviewers
Workload-Typ
Startdatum der Workload
Datum der letzten Änderung der Workload
Anzahl der aus HRIs Sicherheitsgründen identifizierten
Anzahl der aus Sicherheitsgründen HRIs gelösten
Anzahl der für die Sicherheit beantworteten Fragen
Gesamtzahl der Fragen hinsichtlich der Sicherheit
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft die SSL Zertifikate im IAM Zertifikatsspeicher auf CloudFront alternative Domainnamen. Diese Prüfung warnt Sie, wenn ein Zertifikat abgelaufen ist, in Kürze abläuft, eine veraltete Verschlüsselung verwendet oder nicht korrekt für die Verteilung konfiguriert ist.

Wenn ein benutzerdefiniertes Zertifikat für einen alternativen Domainnamen abläuft, zeigen Browser, die Ihre CloudFront Inhalte anzeigen, möglicherweise eine Warnmeldung über die Sicherheit Ihrer Website an. Zertifikate, die mit dem Hash-Algorithmus SHA -1 verschlüsselt wurden, werden von den meisten Webbrowsern wie Chrome und Firefox nicht mehr unterstützt.

Ein Zertifikat muss einen Domainnamen enthalten, der entweder mit dem Ursprungsdomainnamen oder dem Domainnamen im Host-Header einer Viewer-Anforderung übereinstimmt. Wenn er nicht übereinstimmt, wird dem Benutzer der HTTP Statuscode 502 (schlechtes Gateway) CloudFront zurückgegeben. Weitere Informationen finden Sie unter Verwenden alternativer Domainnamen und HTTPS.

Prüf-ID

N425c450f2

Warnungskriterien

Rot: Ein benutzerdefiniertes SSL Zertifikat ist abgelaufen.
Gelb: Ein benutzerdefiniertes SSL Zertifikat läuft in den nächsten sieben Tagen ab.
Gelb: Ein benutzerdefiniertes SSL Zertifikat wurde mit dem Hash-Algorithmus SHA -1 verschlüsselt.
Gelb: Einer oder mehrere der alternativen Domainnamen in der Distribution werden weder im Feld Common Name noch im Feld Alternative Subject Names des benutzerdefinierten SSL Zertifikats angezeigt.

Empfohlene Aktion

Wir empfehlen AWS Certificate Manager die Verwendung zur Bereitstellung, Verwaltung und Bereitstellung Ihrer Serverzertifikate. Mit ACM können Sie ein neues Zertifikat anfordern oder ein vorhandenes ACM oder externes Zertifikat für AWS Ressourcen bereitstellen. ACMDie von bereitgestellten Zertifikate sind kostenlos und können automatisch erneuert werden. Weitere Informationen zur Verwendung ACM finden Sie im AWS Certificate Manager Benutzerhandbuch. Informationen zur ACM Unterstützung von Regionen finden Sie unter AWS Certificate Manager Endpunkte und Kontingente im Allgemeine AWS-Referenz.

Verlängern Sie abgelaufene Zertifikate oder Zertifikate, die bald ablaufen. Weitere Informationen zur Verlängerung eines Zertifikats finden Sie unter Serverzertifikate verwalten unter. IAM

Ersetzen Sie ein Zertifikat, das mit dem Hash-Algorithmus SHA -1 verschlüsselt wurde, durch ein Zertifikat, das mit dem SHA -256-Hash-Algorithmus verschlüsselt wurde.

Ersetzen Sie das Zertifikat durch ein Zertifikat, das die entsprechenden Werte im Feld Common Name (Allgemeiner Name) oder im Feld Subject Alternative Domain Names (Alternative Domainnamen des Subjekts) enthält.

Weitere Ressourcen

Verwenden einer HTTPS Verbindung für den Zugriff auf Ihre Objekte

Importieren von Zertifikaten

AWS Certificate Manager Benutzerhandbuch

Berichtsspalten

Status
Verteilungs-ID
Verteilungs-Domainname
Name des Zertifikats
Grund

Beschreibung

Überprüft Ihren Ursprungsserver auf SSL Zertifikate, die abgelaufen sind, bald ablaufen, fehlen oder die eine veraltete Verschlüsselung verwenden. Wenn ein Zertifikat eines dieser Probleme aufweist, CloudFront reagiert es auf Anfragen nach Ihren Inhalten mit dem HTTP Statuscode 502, Bad Gateway.

Zertifikate, die mit dem Hash-Algorithmus SHA -1 verschlüsselt wurden, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt. Abhängig von der Anzahl der SSL Zertifikate, die Sie mit Ihren CloudFront Distributionen verknüpft haben, kann diese Prüfung Ihre Rechnung bei Ihrem Webhosting-Anbieter um einige Cent pro Monat erhöhen, z. B. AWS wenn Sie Amazon EC2 oder Elastic Load Balancing als Quelle für Ihre CloudFront Distribution verwenden. Bei dieser Prüfung werden die Ursprungszertifikatskette und die Zertifizierungsstellen nicht überprüft. Sie können diese in Ihrer CloudFront Konfiguration überprüfen.

Prüf-ID

N430c450f2

Warnungskriterien

Rot: Ein SSL Zertifikat für Ihren Ursprung ist abgelaufen oder fehlt.
Gelb: Ein SSL Zertifikat über Ihre Herkunft läuft in den nächsten dreißig Tagen ab.
Gelb: Ein SSL Zertifikat für Ihren Ursprung wurde mit dem SHA -1 Hash-Algorithmus verschlüsselt.
Gelb: Ein SSL Zertifikat für Ihren Ursprung kann nicht gefunden werden. Die Verbindung ist möglicherweise aufgrund eines Timeouts oder anderer HTTPS Verbindungsprobleme fehlgeschlagen.

Empfohlene Aktion

Erneuern Sie das Zertifikat für Ihren Ursprung, wenn es abgelaufen ist oder bald abläuft.

Fügen Sie ein Zertifikat hinzu, wenn keines vorhanden ist.

Ersetzen Sie ein Zertifikat, das mit dem Hash-Algorithmus SHA -1 verschlüsselt wurde, durch ein Zertifikat, das mit dem SHA -256-Hash-Algorithmus verschlüsselt wurde.

Weitere Ressourcen

Verwenden alternativer Domainnamen und HTTPS

Berichtsspalten

Status
Verteilungs-ID
Verteilungs-Domänenname
Urspung
Grund

Beschreibung

Sucht nach klassischen Load Balancern mit Listenern, die nicht die empfohlenen Sicherheitskonfigurationen für verschlüsselte Kommunikation verwenden. AWS empfiehlt, ein sicheres Protokoll (HTTPSoderSSL), up-to-date Sicherheitsrichtlinien sowie sichere Chiffren und Protokolle zu verwenden. Wenn Sie ein sicheres Protokoll für eine Front-End-Verbindung (Client zu Load Balancer) verwenden, werden die Anfragen zwischen Ihren Clients und dem Load Balancer verschlüsselt. Dadurch wird eine sicherere Umgebung geschaffen. Elastic Load Balancing bietet vordefinierte Sicherheitsrichtlinien mit Chiffren und Protokollen, die die besten AWS Sicherheitsverfahren einhalten. Neue Versionen der vordefinierten Richtlinien werden veröffentlicht, sobald neue Konfigurationen verfügbar sind.

Prüf-ID

a2sEc6ILx

Warnungskriterien

Rot: Ein Load Balancer hat keine Listener, die mit einem sicheren Protokoll konfiguriert sind ()HTTPS.
Gelb: Ein Load HTTPS Balancer-Listener ist mit einer Sicherheitsrichtlinie konfiguriert, die eine schwache Verschlüsselung enthält.
Gelb: Ein Load HTTPS Balancer-Listener ist nicht mit der empfohlenen Sicherheitsrichtlinie konfiguriert.
Grün: Ein Load Balancer hat mindestens einen HTTPS Listener. AND Alle HTTPS Listener sind mit der empfohlenen Richtlinie konfiguriert.

Empfohlene Aktion

Wenn der Datenverkehr zu Ihrem Load Balancer sicher sein muss, verwenden Sie entweder das HTTPS oder das SSL Protokoll für die Front-End-Verbindung.

Aktualisieren Sie Ihren Load Balancer auf die neueste Version der vordefinierten SSL Sicherheitsrichtlinie.

Verwenden Sie nur die empfohlenen Verschlüsselungsverfahren und Protokolle.

Weitere Informationen finden Sie unter Listener Configurations for Elastic Load Balancing (Listener-Konfigurationen für Elastic Load Balancing).

Weitere Ressourcen

Berichtsspalten

Status
Region
Load-Balancer-Name
Load-Balancer-Port
Grund

Beschreibung

Sucht nach Load Balancern, die mit einer Sicherheitsgruppe konfiguriert sind, die den Zugriff auf Ports ermöglicht, die nicht für den Load Balancer konfiguriert sind.

Wenn eine Sicherheitsgruppe den Zugriff auf Ports zulässt, die nicht für den Load Balancer konfiguriert sind, steigt das Risiko von Datenverlusten oder bösartigen Angriffen.

Prüf-ID

xSqX82fQu

Warnungskriterien

Gelb: Die Regeln für eingehende Nachrichten einer VPC Amazon-Sicherheitsgruppe, die einem Load Balancer zugeordnet ist, ermöglichen den Zugriff auf Ports, die nicht in der Listener-Konfiguration des Load Balancers definiert sind.
Grün: Die Regeln für eingehende Nachrichten einer VPC Amazon-Sicherheitsgruppe, die einem Load Balancer zugeordnet ist, erlauben keinen Zugriff auf Ports, die nicht in der Listener-Konfiguration des Load Balancers definiert sind.

Empfohlene Aktion

Konfigurieren Sie die Sicherheitsgruppenregeln so, dass der Zugriff nur auf die Ports und Protokolle beschränkt wird, die in der Load Balancer-Listener-Konfiguration definiert sind, sowie auf das ICMP Protokoll zur Unterstützung von Path Discovery. MTU Siehe Listener für Ihren Classic Load Balancer und Sicherheitsgruppen für Load Balancer in a. VPC

Fehlt eine Sicherheitsgruppe, wenden Sie eine neue Sicherheitsgruppe auf den Load Balancer an. Erstellen Sie Sicherheitsgruppenregeln, die den Zugriff auf die Ports und Protokolle beschränken, die in der Listener-Konfiguration des Load Balancers festgelegt sind. Weitere Informationen finden Sie unter Sicherheitsgruppen für Load Balancer in a. VPC

Weitere Ressourcen

Berichtsspalten

Status
Region
Load-Balancer-Name
Sicherheitsgruppe IDs
Grund

Beschreibung

Überprüft beliebte Code-Repositorys auf Zugriffsschlüssel, die der Öffentlichkeit zugänglich gemacht wurden, und auf unregelmäßige Nutzung von Amazon Elastic Compute Cloud (AmazonEC2), die auf einen kompromittierten Zugriffsschlüssel zurückzuführen sein könnte.

Ein Zugangsschlüssel besteht aus einer Zugangsschlüssel-ID und dem entsprechenden geheimen Zugangsschlüssel. Ungeschützte Zugangsschlüssel stellen ein Sicherheitsrisiko für Ihr Konto und andere Nutzer dar, können zu überhöhten Gebühren durch unbefugte Aktivitäten oder Missbrauch führen und verstoßen gegen die AWS Kundenvereinbarung.

Wenn Ihr Zugangsschlüssel offengelegt wurde, ergreifen Sie sofort Maßnahmen zur Sicherung Ihres Kontos. Um Ihr Konto vor übermäßigen Gebühren zu schützen, wird Ihre Fähigkeit, einige AWS Ressourcen zu erstellen, AWS vorübergehend eingeschränkt. Dies macht Ihr Konto nicht sicher. Dies schränkt die unerlaubte Nutzung, die Ihnen in Rechnung gestellt werden könnte, nur teilweise ein.

Anmerkung

Diese Überprüfung garantiert nicht die Identifizierung offengelegter Zugriffsschlüssel oder kompromittierter EC2 Instanzen. Letztlich sind Sie für die Sicherheit Ihrer Zugangsschlüssel und AWS Ressourcen verantwortlich.

Die Ergebnisse dieser Prüfung werden automatisch aktualisiert und Aktualisierungsanforderungen sind nicht zulässig. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Wenn für einen Zugangsschlüssel eine Frist angegeben ist, AWS können Sie Ihren Schlüssel sperren, AWS-Konto sofern die unbefugte Nutzung bis zu diesem Datum nicht gestoppt wird. Wenn Sie der Meinung sind, dass es sich bei einer Warnung um einen Fehler handelt, wenden Sie sich an AWS Support.

Die unter angezeigten Informationen geben Trusted Advisor möglicherweise nicht den aktuellen Status Ihres Kontos wieder. Kompromittierte Zugriffsschlüssel werden erst als aufgelöst markiert, wenn alle kompromittierten Zugriffsschlüssel des Kontos aufgelöst wurden. Diese Datensynchronisierung kann bis zu einer Woche dauern.

Prüf-ID

12Fnkpl8Y5

Warnungskriterien

Rot: Potenziell gefährdet — AWS hat eine Zugriffsschlüssel-ID und einen entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet veröffentlicht und möglicherweise kompromittiert (verwendet) wurden.
Rot: Offengelegt — AWS hat eine Zugangsschlüssel-ID und den entsprechenden geheimen Zugriffsschlüssel identifiziert, die im Internet offengelegt wurden.
Rot: Vermutlich — Eine unregelmäßige EC2 Nutzung durch Amazon weist darauf hin, dass ein Zugriffsschlüssel möglicherweise kompromittiert wurde, aber nicht als im Internet offengelegt identifiziert wurde.

Empfohlene Aktion

Löschen Sie den betroffenen Zugriffsschlüssel schnellstmöglich. Wenn der Schlüssel einem IAM Benutzer zugeordnet ist, finden Sie weitere Informationen unter Zugriffsschlüssel für IAM Benutzer verwalten.

Überprüfen Sie, ob Ihr Konto unbefugt genutzt wurde. Melden Sie sich bei der AWS Management Console an und überprüfen Sie jede Servicekonsole auf verdächtige Ressourcen. Achten Sie besonders auf die Ausführung von EC2 Amazon-Instances, Spot-Instance-Anfragen, Zugriffsschlüsseln und IAM Benutzern. Sie können die Gesamtnutzung auch in der Konsole für Fakturierung und Kostenmanagement überprüfen.

Weitere Ressourcen

Berichtsspalten

Access Key ID
Benutzername: (IAM oder Root)
Art des Betrugs
Fall-ID
Aktualisierungszeitpunkt
Ort
Frist
Nutzung (USDpro Tag)

Beschreibung

Sucht nach aktiven IAM Zugangsschlüsseln, die in den letzten 90 Tagen nicht ausgetauscht wurden.

Wenn Sie Ihre Zugangsschlüssel regelmäßig wechseln, verringern Sie die Wahrscheinlichkeit, dass ein kompromittierter Schlüssel ohne Ihr Wissen für den Zugriff auf Ressourcen verwendet werden kann. Für die Zwecke dieser Prüfung ist das Datum und die Uhrzeit der letzten Rotation der Zeitpunkt, an dem der Zugangsschlüssel erstellt oder zuletzt aktiviert wurde. Die Nummer und das Datum des Zugriffsschlüssels stammen aus den access_key_2_last_rotated Informationen access_key_1_last_rotated und den Informationen aus dem neuesten IAM Anmeldedatenbericht.

Da die Regenerierungshäufigkeit eines Berichts mit Anmeldeinformationen eingeschränkt ist, spiegelt das Aktualisieren dieser Prüfung möglicherweise nicht die letzten Änderungen wider. Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto-Konto.

Um Zugriffsschlüssel erstellen und rotieren zu können, muss ein Benutzer über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Benutzern die Möglichkeit, ihre eigenen Passwörter, Zugriffsschlüssel und SSH Schlüssel zu verwalten.

Prüf-ID

DqdJqYeRm5

Warnungskriterien

Grün: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 90 Tagen rotiert.
Gelb: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren, aber vor mehr als 90 Tagen, rotiert.
Rot: Der Zugriffsschlüssel ist aktiv und wurde in den letzten 2 Jahren nicht rotiert.

Empfohlene Aktion

Rotieren Sie die Zugriffsschlüssel regelmäßig. Weitere Informationen finden Sie unter Rotieren von Zugriffsschlüsseln und Verwalten von Zugriffsschlüsseln für IAM Benutzer.

Weitere Ressourcen

Berichtsspalten

Status
IAMBenutzer
Zugriffsschlüssel
Letzte Rotation des Schlüssels
Grund

Beschreibung

Prüft die Passwortrichtlinie für Ihr Konto und warnt, wenn keine Passwortrichtlinie aktiviert ist oder wenn die Anforderungen an den Kennwortinhalt nicht aktiviert wurden.

Die Anforderungen an den Inhalt von Passwörtern erhöhen die allgemeine Sicherheit Ihrer AWS Umgebung, indem sie die Erstellung von sicheren Benutzerpasswörtern erzwingen. Wenn Sie eine Passwortrichtlinie erstellen oder ändern, wird die Änderung sofort für neue Benutzer erzwungen, aber bestehende Benutzer müssen ihre Passwörter nicht ändern.

Prüf-ID

Yw2K9puPzl

Warnungskriterien

Grün: Eine Passwortrichtlinie ist aktiviert und die empfohlene Inhaltsanforderung ist aktiviert.
Gelb: Eine Passwortrichtlinie ist aktiviert, aber mindestens eine Inhaltsanforderung ist nicht aktiviert.

Empfohlene Aktion

Wenn einige Inhaltsanforderungen nicht aktiviert sind, sollten Sie die Aktivierung in Erwägung ziehen. Wenn keine Passwortrichtlinie aktiviert ist, erstellen und konfigurieren Sie eine. Weitere Informationen finden Sie unter Kontopasswortrichtlinien für IAM Benutzer einrichten.

Um auf die zugreifen zu IAM können AWS Management Console, benötigen Benutzer Passwörter. Als bewährte Methode wird AWS dringend empfohlen, anstelle der Erstellung von IAM Benutzern den Verbund zu verwenden. Mit dem Verbund können sich Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen bei der anmelden AWS Management Console. Verwenden Sie IAM Identity Center, um den Benutzer zu erstellen oder zu verbinden und dann eine IAM Rolle in einem Konto anzunehmen.

Weitere Informationen zu Identitätsanbietern und Verbund finden Sie im IAM Benutzerhandbuch unter Identitätsanbieter und Verbund. Weitere Informationen zu IAM Identity Center finden Sie im IAMIdentity Center-Benutzerhandbuch.

Weitere Ressourcen

Verwalten von Passwörtern

Berichtsspalten

Kennwortrichtlinien
Großbuchstaben
Kleinschreibung
Zahl
Nicht-alphanumerisch

Beschreibung

Überprüft, ob der für den Zugriff über einen Identity Provider (IdP) konfiguriert AWS-Konto ist, der SAML 2.0 unterstützt. Beachten Sie unbedingt die bewährten Methoden, wenn Sie Identitäten zentralisieren und Benutzer in einem externen Identitätsanbieter konfigurieren oder. AWS IAM Identity Center

Prüf-ID

c2vlfg0p86

Warnungskriterien

Gelb: Dieses Konto ist nicht für den Zugriff über einen Identitätsanbieter (IdP) konfiguriert, der SAML 2.0 unterstützt.
Grün: Dieses Konto ist für den Zugriff über einen Identitätsanbieter (IdP) konfiguriert, der SAML 2.0 unterstützt.

Empfohlene Aktion

Aktivieren Sie IAM Identity Center für die AWS-Konto. Weitere Informationen finden Sie unter IAMIdentity Center aktivieren. Nachdem Sie IAM Identity Center aktiviert haben, können Sie allgemeine Aufgaben wie das Erstellen eines Berechtigungssatzes und das Zuweisen von Zugriff für Identity Center-Gruppen ausführen. Weitere Informationen finden Sie unter Allgemeine Aufgaben.

Es ist eine bewährte Methode, menschliche Benutzer in IAM Identity Center zu verwalten. Für kleinere Implementierungen können Sie jedoch kurzfristig den Verbundbenutzerzugriff IAM für menschliche Benutzer aktivieren. Weitere Informationen finden Sie unter Federation SAML2.0.

Weitere Ressourcen

Was ist IAM Identity Center?

Was istIAM?

Berichtsspalten

Status
AWS-Konto Id
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft das Root-Konto und warnt, wenn die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert ist.

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, Ihr Konto durch die Verwendung zu schützenMFA, bei der ein Benutzer bei der Interaktion mit den AWS Management Console und den zugehörigen Websites einen eindeutigen Authentifizierungscode von seiner MFA Hardware oder seinem virtuellen Gerät eingeben muss.

Anmerkung

Für Ihr AWS Organizations Verwaltungskonto ist AWS eine mehrstufige Authentifizierung (MFA) für den Root-Benutzer erforderlich, wenn er auf den AWS Management Console zugreift.

Für Ihre AWS Organizations Mitgliedskonten AWS empfiehlt die Verwendung vonMFA. Sie können auch eine AWS Organizations Service Control-Richtlinie (SCP) verwenden, um alle Root-Aktionen effektiv zu blockieren. Weitere Informationen finden Sie unter Bewährte Methoden für Mitgliedskonten im AWS Organizations Benutzerhandbuch.

Prüf-ID

7DAFEmoDos

Warnungskriterien

Rot: MFA ist für das Root-Konto nicht aktiviert.

Empfohlene Aktion

Loggen Sie sich in Ihr Root-Konto ein und aktivieren Sie ein MFA Gerät. Weitere Informationen finden Sie unter MFAStatus überprüfen und ein MFA Gerät einrichten.

Sie können die Aktivierung jederzeit MFA auf Ihrem Konto vornehmen, indem Sie die Seite mit den Sicherheitsanmeldedaten aufrufen. Wählen Sie dazu das Drop-down-Menü für das Kontomenü in der AWS Management Console. AWSunterstützt mehrere branchenübliche Formen vonMFA, z. B. FIDO2 virtuelle Authentifikatoren. Dies gibt Ihnen die Flexibilität, ein MFA Gerät auszuwählen, das Ihren Anforderungen entspricht. Es hat sich bewährt, mehr als ein MFA Gerät zu registrieren, um die Ausfallsicherheit zu gewährleisten, falls eines Ihrer MFA Geräte verloren geht oder nicht mehr funktioniert.

Weitere Ressourcen

Weitere Informationen finden Sie unter Allgemeine Schritte zur Aktivierung von MFA Geräten und Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto IAM Root-Benutzer (Konsole) im Benutzerhandbuch.

Beschreibung

Prüft, ob der Root-Benutzerzugriffsschlüssel vorhanden ist. Es wird dringend empfohlen, keine Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen. Da nur für wenige Aufgaben der Root-Benutzer erforderlich ist und Sie diese Aufgaben in der Regel selten ausführen, empfiehlt es sich, sich bei der anzumelden, AWS Management Console um die Root-Benutzeraufgaben auszuführen. Bevor Sie Zugriffsschlüssel erstellen, sollten Sie die Alternativen zu langfristigen Zugriffsschlüsseln prüfen.

Prüf-ID

c2vlfg0f4h

Warnungskriterien

Rot: Der Root-Benutzerzugriffsschlüssel ist vorhanden

Grün: Der Root-Benutzerzugriffsschlüssel ist nicht vorhanden

Empfohlene Aktion

Löschen Sie die Zugriffsschlüssel für den Root-Benutzer. Siehe Löschen von Zugriffsschlüsseln für den Root-Benutzer. Diese Aufgabe muss vom Root-Benutzer ausgeführt werden. Sie können diese Schritte nicht als IAM Benutzer oder Rolle ausführen.

Weitere Ressourcen

Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind

Zurücksetzen eines verlorenen oder vergessenen Root-Benutzerpassworts

Berichtsspalten

Status
Konto-ID
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff (0.0.0.0/0) auf bestimmte Ports erlauben.

Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust). Die Häfen mit dem höchsten Risiko sind rot gekennzeichnet, die Häfen mit einem geringeren Risiko sind gelb gekennzeichnet. Grün markierte Ports werden in der Regel von Anwendungen verwendet, die uneingeschränkten Zugriff erfordern, wie z. B. und. HTTP SMTP

Wenn Sie Ihre Sicherheitsgruppen absichtlich auf diese Weise konfiguriert haben, empfehlen wir zusätzliche Sicherheitsmaßnahmen zur Sicherung Ihrer Infrastruktur (z. B. IP-Tabellen).

Anmerkung

Bei dieser Prüfung werden nur die von Ihnen erstellten Sicherheitsgruppen und deren Regeln für eingehende Adressen ausgewertet. IPv4 Sicherheitsgruppen, AWS Directory Service die von erstellt wurden, sind rot oder gelb gekennzeichnet, stellen jedoch kein Sicherheitsrisiko dar und können ausgeschlossen werden. Weitere Informationen finden Sie unter. Trusted Advisor FAQ

Prüf-ID

HCP4007jGY

Warnungskriterien

Grün: Die Sicherheitsgruppe bietet uneingeschränkten Zugriff auf die Ports 80, 25, 443 oder 465.
Rot: Die Sicherheitsgruppe ist an eine Ressource angehängt und bietet uneingeschränkten Zugriff auf Port 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432 oder 5500.
Gelb: Die Sicherheitsgruppe bietet uneingeschränkten Zugriff auf jeden anderen Port.
Gelb: Die Sicherheitsgruppe ist an keine Ressource angehängt und bietet uneingeschränkten Zugriff.

Empfohlene Aktion

Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.

Überprüfen und löschen Sie nicht verwendete Sicherheitsgruppen. Sie können AWS Firewall Manager es verwenden, um Sicherheitsgruppen zentral und in großem Umfang zu konfigurieren und zu verwalten. Weitere Informationen finden Sie in der AWS Firewall Manager Dokumentation. AWS-Konten

Erwägen Sie die Verwendung von Systems Manager Sessions Manager für den Zugriff auf EC2 Instanzen SSH RDP (Port 22) und (Port 3389). Mit dem Sessions Manager können Sie auf Ihre EC2 Instances zugreifen, ohne Port 22 und 3389 in der Sicherheitsgruppe zu aktivieren.

Weitere Ressourcen

Berichtsspalten

Status
Region
Name der Sicherheitsgruppe
Sicherheitsgruppen-ID
Protokoll
Von Port
An Port
Zuordnung

Beschreibung

Prüft Sicherheitsgruppen auf Regeln, die den uneingeschränkten Zugriff auf eine Ressource erlauben.

Uneingeschränkter Zugriff erhöht die Wahrscheinlichkeit bösartiger Aktivitäten (Hacking, denial-of-service Angriffe, Datenverlust).

Anmerkung

Bei dieser Prüfung werden nur die von Ihnen erstellten Sicherheitsgruppen und deren Regeln für eingehende Adressen ausgewertet. IPv4 Sicherheitsgruppen, AWS Directory Service die von erstellt wurden, sind rot oder gelb gekennzeichnet, stellen jedoch kein Sicherheitsrisiko dar und können ausgeschlossen werden. Weitere Informationen finden Sie unter. Trusted Advisor FAQ

Prüf-ID

1iG5NDGVre

Warnungskriterien

Grün: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit dem Suffix /0 für die Ports 25, 80 oder 443.
Gelb: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit dem Suffix /0 für andere Ports als 25, 80 oder 443, und die Sicherheitsgruppe ist an eine Ressource angehängt.
Rot: Eine Sicherheitsgruppenregel hat eine Quell-IP-Adresse mit einem /0-Suffix für andere Ports als 25, 80 oder 443, und die Sicherheitsgruppe ist keiner Ressource zugeordnet.

Empfohlene Aktion

Beschränken Sie den Zugriff auf die IP-Adressen, für die dies erforderlich ist. Um den Zugriff auf eine bestimmte IP-Adresse einzuschränken, legen Sie das Suffix auf /32 fest (z. B. 192.0.2.10/32). Achten Sie darauf, übermäßig freizügige Regeln zu löschen, nachdem Sie restriktivere Regeln erstellt haben.

Überprüfen und löschen Sie nicht verwendete Sicherheitsgruppen. Sie können AWS Firewall Manager es verwenden, um Sicherheitsgruppen zentral und in großem Umfang zu konfigurieren und zu verwalten. Weitere Informationen finden Sie in der AWS Firewall Manager Dokumentation. AWS-Konten

Erwägen Sie die Verwendung von Systems Manager Sessions Manager für den Zugriff auf EC2 Instanzen SSH RDP (Port 22) und (Port 3389). Mit dem Sessions Manager können Sie auf Ihre EC2 Instances zugreifen, ohne Port 22 und 3389 in der Sicherheitsgruppe zu aktivieren.

Weitere Ressourcen

Berichtsspalten

Status
Region
Name der Sicherheitsgruppe
Sicherheitsgruppen-ID
Protokoll
Von Port
An Port
IP-Bereich

Zuordnung

Anmerkung

Namen prüfen

Aufbewahrungszeitraum für Amazon CloudWatch Log Group

Anmerkung

EC2Amazon-Instances mit Ende des Supports für Microsoft SQL Server

Anmerkung

Ende des Supports für EC2 Amazon-Instances mit Microsoft Windows Server

Anmerkung

EC2Amazon-Instances mit LTS Ende der Standardunterstützung für Ubuntu

Anmerkung

EFSAmazon-Kunden verwenden keine data-in-transit Verschlüsselung

Anmerkung

EBSÖffentliche Schnappschüsse von Amazon

Anmerkung

Die Amazon RDS Aurora-Speicherverschlüsselung ist ausgeschaltet

Anmerkung

Anmerkung

Ein Upgrade der Amazon RDS Engine-Nebenversion ist erforderlich

Anmerkung

Anmerkung

RDSÖffentliche Schnappschüsse von Amazon

Anmerkung

Zugriffsrisiko RDS für Amazon Security Group

Anmerkung

Die RDS Amazon-Speicherverschlüsselung ist ausgeschaltet

Anmerkung

Anmerkung

Erstellen Sie eine verschlüsselte Kopie der ursprünglichen DB-Instance

Amazon Route 53 stimmt nicht überein mit CNAME Datensätzen, die direkt auf S3-Buckets verweisen

Amazon Route 53 MX-Ressourceneintragsätze und Senderrichtlinien-Framework

Amazon S3 Bucket-Berechtigungen

VPCAmazon-Peering-Verbindungen mit deaktivierter DNS Auflösung

Anmerkung

Application Load Balancer — Verschlüsseltes Protokoll für Zielgruppen

AWS Backup Tresor ohne ressourcenbasierte Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten

Anmerkung

AWS CloudTrail Protokollierung

AWS Lambda Funktionen, die veraltete Laufzeiten verwenden

Anmerkung

AWS Well-Architected-Probleme mit hohem Risiko für die Sicherheit

Anmerkung

CloudFrontBenutzerdefinierte SSL Zertifikate im IAM Zertifikatsspeicher

CloudFront SSLZertifikat auf dem Origin Server

ELBListener-Sicherheit

Classic Load Balancer Balancer-Sicherheitsgruppen

Exposed Access Keys

Anmerkung

IAM-Zugriffsschlüssel-Rotation

IAMPasswort-Richtlinie

IAMSAML2.0 Identitätsanbieter

MFAauf dem Root-Konto

Anmerkung

Root-Benutzerzugriffsschlüssel

Sicherheitsgruppen – Bestimmte Ports uneingeschränkt

Anmerkung

Sicherheitsgruppen – Uneingeschränkter Zugriff

Anmerkung