Operative Best Practices für BNM RMiT - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Operative Best Practices für BNM RMiT

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.



Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den Regeln Bank Negara Malaysia (BNM) Risk Management in Technology (RMiT) und AWS Managed Config. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere BNM RMiT Steuerelemente. Ein BNM RMiT Steuerelement kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

alb-http-to-https-Weiterleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

elbv-2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon-S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

s3- bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

s3- default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon-S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10,18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

sagemaker-endpoint-configuration-kms-tastenkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

sagemaker-notebook-instance-kms-tastenkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da sensible Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
10.18 Ein Finanzinstitut muss die gebotene Sorgfalt walten lassen und die kryptografischen Kontrollen im Zusammenhang mit der verwendeten Technologie bewerten, um die Vertraulichkeit, Integrität, Authentifizierung, Autorisierung und Nichtabstreitbarkeit von Informationen zu schützen. Generiert ein Finanzinstitut keine eigenen Verschlüsselungsschlüssel, ergreift es geeignete Maßnahmen, um sicherzustellen, dass robuste Kontrollen und Verfahren für die Verwaltung der Verschlüsselungsschlüssel vorhanden sind. Wird dabei auf Bewertungen Dritter zurückgegriffen, so prüft das Finanzinstitut, ob ein solches Vertrauen mit der Risikobereitschaft und Risikobereitschaft des Finanzinstituts vereinbar ist. Ein Finanzinstitut muss außerdem die Systemressourcen, die zur Unterstützung der kryptografischen Kontrollen erforderlich sind, und das Risiko einer verringerten Sichtbarkeit verschlüsselter Daten im Netzwerkverkehr gebührend berücksichtigen.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.20 Ein Finanzinstitut speichert öffentliche kryptografische Schlüssel in einem Zertifikat, das von einer Zertifizierungsstelle je nach Risikostufe ausgestellt wurde. Solche Kundenzertifikate werden von anerkannten Zertifizierungsstellen ausgestellt. Das Finanzinstitut muss sicherstellen, dass die Implementierung von Authentifizierungs- und Signaturprotokollen, die solche Zertifikate verwenden, einem strengen Schutz unterliegt. Dadurch wird gewährleistet, dass die Verwendung privater kryptografischer Schlüssel, die den Benutzerzertifikaten entsprechen, rechtsverbindlich und unwiderlegbar ist. Die erstmalige Ausstellung und die anschließende Verlängerung solcher Zertifikate müssen den bewährten Verfahren der Branche und den geltenden gesetzlichen/regulatorischen Spezifikationen entsprechen.

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ausgestellt werden. AWS ACM Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS grundlegende Sicherheitsmethoden: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10,20 Ein Finanzinstitut speichert öffentliche kryptografische Schlüssel in einem Zertifikat, das von einer Zertifizierungsstelle je nach Risikostufe ausgestellt wurde. Solche Kundenzertifikate werden von anerkannten Zertifizierungsstellen ausgestellt. Das Finanzinstitut muss sicherstellen, dass die Implementierung von Authentifizierungs- und Signaturprotokollen, die solche Zertifikate verwenden, einem strengen Schutz unterliegt. Dadurch wird gewährleistet, dass die Verwendung privater kryptografischer Schlüssel, die den Benutzerzertifikaten entsprechen, rechtsverbindlich und unwiderlegbar ist. Die erstmalige Ausstellung und die anschließende Verlängerung solcher Zertifikate müssen den bewährten Verfahren der Branche und den geltenden gesetzlichen/regulatorischen Spezifikationen entsprechen.

Elb v 2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

beanstalk-enhanced-health-reporting-aktiviert

AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

ec-2 instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Überwachung auf der EC2 Amazon-Konsole zu verbessern, in der Monitoring-Diagramme mit einem Zeitraum von 1 Minute für die Instance angezeigt werden.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

lambda-concurrency-check

Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet.
10,27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
10.27 Ein Finanzinstitut muss Mechanismen zur Überwachung in Echtzeit einrichten, um die Kapazitätsauslastung und Leistung der wichtigsten Prozesse und Services nachzuverfolgen. Diese Überwachungsmechanismen müssen in der Lage sein, Administratoren rechtzeitig und mit konkreten Maßnahmen zu benachrichtigen.

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
10.34 Ein Finanzinstitut muss sicherstellen, dass die Netzwerkdienste für seine kritischen Systeme zuverlässig sind und über keine SPOF verfügen, um die kritischen Systeme vor potenziellen Netzwerkfehlern und Cyberbedrohungen zu schützen.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
10.34 Ein Finanzinstitut muss sicherstellen, dass die Netzwerkdienste für seine kritischen Systeme zuverlässig sind und über keine SPOF verfügen, um die kritischen Systeme vor potenziellen Netzwerkfehlern und Cyberbedrohungen zu schützen.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
10.35 Ein Finanzinstitut muss Verfahren zur Überwachung der Netzwerkbandbreite in Echtzeit und entsprechende Messwerte für die Resilienz von Netzwerkdiensten einrichten, um jegliche Übernutzung der Bandbreite und Systemunterbrechungen aufgrund von Bandbreitenengpässen und Netzwerkfehlern zu kennzeichnen. Dazu gehört auch die Analyse des Datenverkehrs zur Erkennung von Trends und Anomalien.

api-gw-xray-enabled

AWS X-Ray sammelt Daten über Anfragen, die Ihre Anwendung bedient, und bietet Tools, mit denen Sie diese Daten anzeigen, filtern und Einblicke in sie gewinnen können, um Probleme und Optimierungsmöglichkeiten zu identifizieren. Stellen Sie sicher, dass X-Ray aktiviert ist, damit Sie detaillierte Informationen nicht nur über die Anfrage und Antwort, sondern auch über Aufrufe erhalten, die Ihre Anwendung an nachgelagerte AWS Ressourcen, Microservices, Datenbanken und das HTTP Internet APIs tätigt.
10.35 Ein Finanzinstitut muss Verfahren zur Überwachung der Netzwerkbandbreite in Echtzeit und entsprechende Messwerte für die Resilienz von Netzwerkdiensten einrichten, um jegliche Übernutzung der Bandbreite und Systemunterbrechungen aufgrund von Bandbreitenengpässen und Netzwerkfehlern zu kennzeichnen. Dazu gehört auch die Analyse des Datenverkehrs zur Erkennung von Trends und Anomalien.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
10.35 Ein Finanzinstitut muss Verfahren zur Überwachung der Netzwerkbandbreite in Echtzeit und entsprechende Messwerte für die Resilienz von Netzwerkdiensten einrichten, um jegliche Übernutzung der Bandbreite und Systemunterbrechungen aufgrund von Bandbreitenengpässen und Netzwerkfehlern zu kennzeichnen. Dazu gehört auch die Analyse des Datenverkehrs zur Erkennung von Trends und Anomalien.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
10.35 Ein Finanzinstitut muss Verfahren zur Überwachung der Netzwerkbandbreite in Echtzeit und entsprechende Messwerte für die Resilienz von Netzwerkdiensten einrichten, um jegliche Übernutzung der Bandbreite und Systemunterbrechungen aufgrund von Bandbreitenengpässen und Netzwerkfehlern zu kennzeichnen. Dazu gehört auch die Analyse des Datenverkehrs zur Erkennung von Trends und Anomalien.

vpc-flow-logs-enabled

Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
10.36 Ein Finanzinstitut muss sicherstellen, dass Netzwerkdienste zur Unterstützung kritischer Systeme so konzipiert und implementiert werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.36 Ein Finanzinstitut muss sicherstellen, dass Netzwerkdienste zur Unterstützung kritischer Systeme so konzipiert und implementiert werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
10.36 Ein Finanzinstitut muss sicherstellen, dass Netzwerkdienste zur Unterstützung kritischer Systeme so konzipiert und implementiert werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.

Elb v 2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
10.36 Ein Finanzinstitut muss sicherstellen, dass Netzwerkdienste zur Unterstützung kritischer Systeme so konzipiert und implementiert werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
10,36 Ein Finanzinstitut muss sicherstellen, dass Netzwerkdienste zur Unterstützung kritischer Systeme so konzipiert und implementiert werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.

nlb-cross-zone-load-Balancing aktiviert

Aktivieren Sie den zonenübergreifenden Lastenausgleich für Ihre Network Load Balancer (NLBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Dadurch wird auch die Fähigkeit Ihrer Anwendung verbessert, den Verlust einer oder mehrerer Instances zu bewältigen.
10.38 Ein Finanzinstitut muss sicherstellen, dass ausreichende und relevante Netzwerkgeräteprotokolle für Untersuchungen und forensische Zwecke mindestens drei Jahre lang aufbewahrt werden.

cw-loggroup-retention-period-überprüfen

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.
10,51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

api-gw-cache-enabled-und-verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

ec-2 ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10,51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

Elb v 2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

emr-kerberos-enabled

Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon-Cluster aktiviert wird. EMR In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Hauptverteilungszentrum () bezeichnet. KDC Über diesen Server können sich Prinzipale authentifizieren. Der KDC authentifiziert sich, indem er Tickets zur Authentifizierung ausstellt. Der KDC verwaltet eine Datenbank mit den Prinzipalen in seinem Bereich, ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR Cluster-Masterknoten nicht öffentlich zugänglich sind. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
10,51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10,51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass IAM Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit der autorisierten Amazon Virtual Private Cloud (AmazonVPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zum und vom AmazonVPC, was möglicherweise zu einem unbefugten Zugriff auf VPC Amazon-Ressourcen führen kann.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s3-Blöcke-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s-3 bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s3-fähig bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon-S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon-S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10,51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

sagemaker-endpoint-configuration-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da sensible Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
10.51 Ein Finanzinstitut muss bei der Nutzung von Cloud-Services angemessene Sicherheitsvorkehrungen für Kunden- und Gegenparteiinformationen sowie für firmeneigene Daten ergreifen, um sich vor unbefugter Offenlegung und unbefugtem Zugriff zu schützen. Dies beinhaltet die Beibehaltung des Eigentums, der Kontrolle und der Verwaltung aller Daten, die sich auf Kunden- und Gegenparteiinformationen, firmeneigene Daten und in der Cloud gehostete Services beziehen, einschließlich der Verwaltung der entsprechenden kryptografischen Schlüssel.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

ec-2 instance-profile-attached

EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

emr-kerberos-enabled

Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon-Cluster aktiviert wird. EMR In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Hauptverteilungszentrum () bezeichnet. KDC Über diesen Server können sich Prinzipale authentifizieren. Der KDC authentifiziert sich, indem er Tickets zur Authentifizierung ausstellt. Der KDC verwaltet eine Datenbank mit den Prinzipalen in seinem Bereich, ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-customer-policy-blocked-KMS-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10,52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass IAM Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.52 Ein Finanzinstitut muss angemessene Zugangskontrollen für die Identifizierung, Authentifizierung und Autorisierung von Benutzern (interne und externe Nutzer wie Drittanbieter) einführen. Dabei muss es sowohl um logische als auch um physische Zugriffskontrollen für Technologien gehen, die dem Risiko eines unbefugten Zugriffs auf seine Technologiesysteme angemessen sind.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.53(b)(h)(i) Bei der Einhaltung von Ziffer 10.52 sollte ein Finanzinstitut in seiner Zugriffskontrollpolitik die folgenden Grundsätze berücksichtigen: (b) Zugriffsrechte mit den geringsten Rechten oder auf einer need-to-have „Basis, bei der legitimen Benutzer nur die Mindestberechtigungen gewährt werden, um ihre Aufgaben wahrzunehmen; (h) die gemeinsame Nutzung von Benutzer-IDs und Passwörtern durch mehrere Benutzer einschränken und kontrollieren; und (i) die Verwendung generischer Benennungskonventionen für Benutzer-IDs zugunsten einer persönlicheren Identifizierung kontrollierenIDs.

iam-root-access-key-check

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrolle die folgenden Grundsätze berücksichtigen: (b) Zugangsrechte mit den geringsten Rechten oder auf der Basis von „“, wobei legitimen Benutzern nur die erforderlichen Mindestberechtigungen zur Ausübung ihrer Aufgaben gewährt werden; need-to-have

ec-2 instance-profile-attached

EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrolle die folgenden Grundsätze berücksichtigen: (b) Zugriffsrechte mit den geringsten Rechten oder auf einer „need-to-have“ -Basis, bei der legitimen Benutzer nur die zur Ausübung ihrer Aufgaben erforderlichen Mindestberechtigungen gewährt werden;

emr-kerberos-enabled

Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon-Cluster aktiviert wird. EMR In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Hauptverteilungszentrum () bezeichnet. KDC Über diesen Server können sich Prinzipale authentifizieren. Der KDC authentifiziert sich, indem er Tickets zur Authentifizierung ausstellt. Der KDC verwaltet eine Datenbank mit den Prinzipalen in seinem Bereich, ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrolle die folgenden Grundsätze berücksichtigen: (b) Zugriffsrechte mit den geringsten Rechten oder auf einer need-to-have „Basis, bei der legitimen Benutzer nur die Mindestberechtigungen gewährt werden, die zur Ausübung ihrer Aufgaben ausreichen;

iam-customer-policy-blocked-KMS-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrolle die folgenden Grundsätze berücksichtigen: (b) Zugriffsrechte mit den geringsten Rechten oder auf einer „Basisneed-to-have“, bei der legitimen Benutzer nur die Mindestberechtigungen zur Ausübung ihrer Aufgaben gewährt werden;

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seinen Zugriffskontrollen die folgenden Grundsätze berücksichtigen: (b) Zugangsrechte mit den geringsten Rechten oder auf einer „need-to-have“ -Basis verwenden, bei der legitimen Benutzer nur die geringsten Rechte erhalten, die zur Ausübung ihrer Aufgaben ausreichen;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
10.53(b) Bei der Einhaltung von Ziffer 10.52 sollte ein Finanzinstitut in seiner Zugriffskontrollpolitik die folgenden Grundsätze berücksichtigen: (b) Zugangsrechte mit den geringsten Rechten verwenden oder auf einer „need-to-have“ -Basis, bei der legitimen Benutzern nur die Mindestberechtigungen gewährt werden, die zur Ausübung ihrer Aufgaben ausreichen;

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass IAM Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
10.53(b) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrolle die folgenden Grundsätze berücksichtigen: (b) Zugriffsrechte mit den geringsten Rechten verwenden oder auf einer „need-to-have“ -Basis, bei der legitimen Benutzer nur die Mindestberechtigungen zur Ausübung ihrer Aufgaben gewährt werden;

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
10.53(c)(f) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrollrichtlinie die folgenden Grundsätze berücksichtigen: (c) zeitlich begrenzte Zugriffsrechte anwenden, die den Zugriff auf einen bestimmten Zeitraum beschränken, einschließlich der Zugriffsrechte, die Serviceanbietern gewährt werden; (f) Einführung einer stärkeren Authentifizierung für kritische Aktivitäten, auch für den Fernzugriff

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.53(f)(h) Unter Beachtung von Ziffer 10.52 sollte ein Finanzinstitut bei seiner Zugriffskontrollrichtlinie die folgenden Grundsätze berücksichtigen: (f) Einführung einer stärkeren Authentifizierung für kritische Aktivitäten, einschließlich des Fernzugriffs; (h) die gemeinsame Nutzung von Benutzer-IDs und Passwörtern durch mehrere Benutzer einschränken und kontrollieren

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
10.53(f)(h) Unter Beachtung von Ziffer 10.54 sollte ein Finanzinstitut bei seiner Zugriffskontrollrichtlinie die folgenden Grundsätze berücksichtigen: (f) Einführung einer stärkeren Authentifizierung für kritische Aktivitäten, einschließlich des Fernzugriffs; (h) die gemeinsame Nutzung von Benutzer-IDs und Passwörtern durch mehrere Benutzer einschränken und kontrollieren

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.53(f)(h) Unter Beachtung von Ziffer 10.54 sollte ein Finanzinstitut bei seiner Zugriffskontrollrichtlinie die folgenden Grundsätze berücksichtigen: (f) Einführung einer stärkeren Authentifizierung für kritische Aktivitäten, einschließlich des Fernzugriffs; (h) die gemeinsame Nutzung von Benutzer-IDs und Passwörtern durch mehrere Benutzer einschränken und kontrollieren

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.54 Ein Finanzinstitut muss robuste Authentifizierungsprozesse einsetzen, um die Echtheit der verwendeten Identitäten sicherzustellen. Authentifizierungsmechanismen müssen der Wichtigkeit der Funktionen angemessen sein und mindestens einen oder mehrere dieser drei grundlegenden Authentifizierungsfaktoren berücksichtigen, nämlich etwas, das der Benutzer weiß (z. B. Passwort), etwas, das der Benutzer besitzt (z. B. Smartcard, SicherheitsgerätPIN) und etwas, das der Benutzer ist (z. B. biometrische Merkmale, wie ein Fingerabdruck oder ein Netzhautmuster).

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
10.54 Ein Finanzinstitut muss robuste Authentifizierungsprozesse einsetzen, um die Echtheit der verwendeten Identitäten sicherzustellen. Die Authentifizierungsmechanismen müssen der Wichtigkeit der Funktionen angemessen sein und mindestens einen oder mehrere dieser drei grundlegenden Authentifizierungsfaktoren berücksichtigen, nämlich etwas, das der Benutzer weiß (z. B. PasswortPIN), etwas, das der Benutzer besitzt (z. B. Smartcard, Sicherheitsgerät) und etwas, das der Benutzer ist (z. B. biometrische Merkmale wie Fingerabdruck oder Netzhautmuster).

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.54 Ein Finanzinstitut muss robuste Authentifizierungsprozesse einsetzen, um die Echtheit der verwendeten Identitäten sicherzustellen. Authentifizierungsmechanismen müssen der Wichtigkeit der Funktionen angemessen sein und mindestens einen oder mehrere dieser drei grundlegenden Authentifizierungsfaktoren berücksichtigen, nämlich etwas, das der Benutzer weiß (z. B. Passwort), etwas, das der Benutzer besitzt (z. B. Smartcard, SicherheitsgerätPIN) und etwas, das der Benutzer ist (z. B. biometrische Merkmale, wie ein Fingerabdruck oder ein Netzhautmuster).

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den MFA Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.55 Ein Finanzinstitut muss seine Passwortpraktiken regelmäßig überprüfen und anpassen, um die Widerstandsfähigkeit gegen sich entwickelnde Angriffe zu erhöhen. Dazu gehört auch die effektive und sichere Generierung von Passwörtern. Es müssen angemessene Kontrollen vorhanden sein, um die Stärke der erstellten Passwörter zu überprüfen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.56 Authentifizierungsmethoden, die von mehr als einem Faktor abhängen, sind in der Regel schwieriger zu kompromittieren als ein Einzelfaktorsystem. Vor diesem Hintergrund werden Finanzinstitute dazu angehalten, die multifaktorielle Authentifizierung () sachgerecht zu konzipieren und umzusetzen (insbesondere in Systemen mit hohem Risiko oder Single-Sign-On-Systemen), die zuverlässiger sind und eine stärkere MFA Betrugsabschreckung bieten

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
10.56 Authentifizierungsmethoden, die von mehr als einem Faktor abhängen, sind in der Regel schwieriger zu kompromittieren als ein Einzelfaktorsystem. Vor diesem Hintergrund werden Finanzinstitute dazu angehalten, die multifaktorielle Authentifizierung () sachgerecht zu konzipieren und umzusetzen (insbesondere in Systemen mit hohem Risiko oder Single-Sign-On-Systemen), die zuverlässiger sind und eine stärkere MFA Betrugsabschreckung bieten

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10.56 Authentifizierungsmethoden, die von mehr als einem Faktor abhängen, sind in der Regel schwieriger zu kompromittieren als ein Einzelfaktorsystem. Vor diesem Hintergrund werden Finanzinstitute dazu angehalten, die multifaktorielle Authentifizierung () sachgerecht zu konzipieren und umzusetzen (insbesondere in Systemen mit hohem Risiko oder Single-Sign-On-Systemen), die zuverlässiger sind und eine stärkere MFA Betrugsabschreckung bieten

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert ist. MFA Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
10,59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

cw-loggroup-retention-period-überprüfen

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.
10,59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

ec-2 instance-profile-attached

EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10,59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass IAM Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Auftraggeber, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
10,59 Ein Finanzinstitut muss sicherstellen, dass (a) die Zugriffskontrollen zu unternehmensweiten Systemen wirksam verwaltet und überwacht werden und (b) Benutzeraktivitäten in kritischen Systemen für Prüfungen und Untersuchungen protokolliert werden. Aktivitätsprotokolle müssen mindestens drei Jahre lang aufbewahrt sowie regelmäßig und rechtzeitig überprüft werden.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
10,60 Damit große Finanzinstitute die in Absatz 10.59 genannten Anforderungen erfüllen, müssen sie (a) ein Identity Access Management System einrichten, um den Benutzerzugriff auf unternehmensweite Systeme effektiv zu verwalten und zu überwachen, und (b) automatisierte Prüfungstools einsetzen, um etwaige Anomalien zu melden.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
10.60 Damit große Finanzinstitute die in Absatz 10.61 genannten Anforderungen erfüllen, müssen sie (a) ein Identity Access Management System einrichten, um den Benutzerzugriff auf unternehmensweite Systeme effektiv zu verwalten und zu überwachen, und (b) automatisierte Prüfungstools einsetzen, um etwaige Anomalien zu melden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
10,60 Damit große Finanzinstitute die in Absatz 10.61 genannten Anforderungen erfüllen, müssen sie (a) ein Identity Access Management System einrichten, um den Benutzerzugriff auf unternehmensweite Systeme effektiv zu verwalten und zu überwachen, und (b) automatisierte Prüfungstools einsetzen, um etwaige Anomalien zu melden.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
10.61 Ein Finanzinstitut muss sicherstellen, dass kritische Systeme nicht auf veralteten Systemen mit bekannten Sicherheitslücken oder end-of-life (EOL) Technologiesystemen laufen. In diesem Zusammenhang muss ein Finanzinstitut den identifizierten Funktionen klare Zuständigkeiten zuweisen: (a) die neuesten Patch-Versionen kontinuierlich zu überwachen und rechtzeitig zu implementieren und (b) kritische Technologiesysteme zu identifizieren, EOL bei denen weitere Abhilfemaßnahmen erforderlich sind.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
10.61 Ein Finanzinstitut muss sicherstellen, dass kritische Systeme nicht auf veralteten Systemen mit bekannten Sicherheitslücken oder end-of-life (EOL) Technologiesystemen laufen. In diesem Zusammenhang muss ein Finanzinstitut den identifizierten Funktionen klare Zuständigkeiten zuweisen: (a) die neuesten Patch-Versionen kontinuierlich zu überwachen und rechtzeitig zu implementieren und (b) kritische Technologiesysteme zu identifizieren, EOL bei denen weitere Abhilfemaßnahmen erforderlich sind.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
10.61 Ein Finanzinstitut muss sicherstellen, dass kritische Systeme nicht auf veralteten Systemen mit bekannten Sicherheitslücken oder end-of-life (EOL) Technologiesystemen laufen. In diesem Zusammenhang muss ein Finanzinstitut den identifizierten Funktionen klare Zuständigkeiten zuweisen: (a) die neuesten Patch-Versionen kontinuierlich zu überwachen und rechtzeitig zu implementieren und (b) kritische Technologiesysteme zu identifizieren, EOL bei denen weitere Abhilfemaßnahmen erforderlich sind.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
10.61 Ein Finanzinstitut muss sicherstellen, dass kritische Systeme nicht auf veralteten Systemen mit bekannten Sicherheitslücken oder end-of-life (EOL) Technologiesystemen laufen. In diesem Zusammenhang muss ein Finanzinstitut den identifizierten Funktionen klare Zuständigkeiten zuweisen: (a) die neuesten Patch-Versionen kontinuierlich zu überwachen und rechtzeitig zu implementieren und (b) kritische Technologiesysteme zu identifizieren, EOL bei denen weitere Abhilfemaßnahmen erforderlich sind.

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
10,61 Ein Finanzinstitut muss sicherstellen, dass kritische Systeme nicht auf veralteten Systemen mit bekannten Sicherheitslücken oder end-of-life (EOL) Technologiesystemen laufen. In diesem Zusammenhang muss ein Finanzinstitut den identifizierten Funktionen klare Zuständigkeiten zuweisen: (a) die neuesten Patch-Versionen kontinuierlich zu überwachen und rechtzeitig zu implementieren und (b) kritische Technologiesysteme zu identifizieren, EOL bei denen weitere Abhilfemaßnahmen erforderlich sind.

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem überprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

s3-fähig bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon-S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da sensible Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
10.64(a) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (a) Vertraulichkeit und Integrität von Kunden- sowie Gegenparteiinformationen und Transaktionen

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen implementieren, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen implementieren, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

nlb-cross-zone-load-Balancing aktiviert

Aktivieren Sie den zonenübergreifenden Lastausgleich für Ihre NetworkLoad Balancer (NLBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Dadurch wird auch die Fähigkeit Ihrer Anwendung verbessert, den Verlust einer oder mehrerer Instances zu bewältigen.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

rds-instance-deletion-protection-aktiviert

Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen implementieren, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

rds-cluster-multi-az-aktiviert

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
10.64(b) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen implementieren, die Folgendes gewährleisten: (b) Zuverlässigkeit der über Kanäle und Geräte bereitgestellten Dienste bei minimaler Unterbrechung der Dienste

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können eingerichtet werden, um die Anforderungen an die Widerstandsfähigkeit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

ec2- instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Überwachung auf der EC2 Amazon-Konsole zu verbessern, in der Monitoring-Diagramme mit einem Zeitraum von 1 Minute für die Instance angezeigt werden.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Auftraggeber, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

vpc-flow-logs-enabled

Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
10.64(d) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes sicherstellen: (d) Vorhandensein eines ausreichenden Audit Trail und die Überwachung anomaler Transaktionen

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

aurora-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

dynamodb-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

ebs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

ec2--Plan resources-protected-by-backup

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (AmazonEC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

efs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

rds-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (AmazonRDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

s3- bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
10.64(e) Ein Finanzinstitut muss bei der Bereitstellung digitaler Dienste robuste technische Sicherheitskontrollen einführen, die Folgendes gewährleisten: (e) Fähigkeit, den Wiederherstellungspunkt vor einem Vorfall oder einer Betriebsunterbrechung zu identifizieren und zu diesem zurückzukehren

resources-protected-by-backups3-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (S3) -Buckets Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
11.7 Ein Finanzinstitut muss effektive Tools einsetzen, um die kontinuierliche und proaktive Überwachung und rechtzeitige Erkennung anomaler Aktivitäten in seiner Technologieinfrastruktur zu unterstützen. Der Umfang der Überwachung muss sich auf alle kritischen Systeme einschließlich der unterstützenden Infrastruktur erstrecken.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
11.7 Ein Finanzinstitut muss effektive Tools einsetzen, um die kontinuierliche und proaktive Überwachung und rechtzeitige Erkennung anomaler Aktivitäten in seiner Technologieinfrastruktur zu unterstützen. Der Umfang der Überwachung muss sich auf alle kritischen Systeme einschließlich der unterstützenden Infrastruktur erstrecken.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
11.8 Ein Finanzinstitut muss sicherstellen, dass seine Cybersicherheitsaktivitäten kontinuierlich jede potenzielle Beeinträchtigung seiner Sicherheitskontrollen oder eine Schwächung seiner Sicherheitslage verhindern und aufdecken. Für große Finanzinstitute gehört die Durchführung einer vierteljährlichen Schwachstellenbewertung externer und interner Netzwerkkomponenten dazu, die alle kritischen Systeme unterstützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
11.8 Ein Finanzinstitut muss sicherstellen, dass seine Cybersicherheitsaktivitäten kontinuierlich jede potenzielle Beeinträchtigung seiner Sicherheitskontrollen oder eine Schwächung seiner Sicherheitslage verhindern und aufdecken. Für große Finanzinstitute gehört die Durchführung einer vierteljährlichen Schwachstellenbewertung externer und interner Netzwerkkomponenten dazu, die alle kritischen Systeme unterstützen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
11.18(c)(f) Sie SOC müssen in der Lage sein, die folgenden Funktionen auszuführen: (c) Schwachstellenmanagement; (f) Bereitstellung eines Situationsbewusstseins zur Erkennung von Gegnern und Bedrohungen, einschließlich der Analyse und Durchführung von Bedrohungsinformationen sowie der Überwachung von Bedrohungsindikatoren (). IOC Dazu gehören fortschrittliche Verhaltensanalysen zur Erkennung signatur- und dateiloser Malware und zur Identifizierung von Anomalien, die Sicherheitsbedrohungen darstellen können, auch an Endpunkten und auf Netzwerkebenen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
11.18(c)(f) Sie SOC müssen in der Lage sein, die folgenden Funktionen zu erfüllen: (c) Schwachstellenmanagement; (f) Bereitstellung eines Situationsbewusstseins zur Erkennung von Gegnern und Bedrohungen, einschließlich der Analyse und Durchführung von Bedrohungsinformationen sowie der Überwachung von Bedrohungsindikatoren (). IOC Dazu gehören fortschrittliche Verhaltensanalysen zur Erkennung signatur- und dateiloser Malware und zur Identifizierung von Anomalien, die Sicherheitsbedrohungen darstellen können, auch an Endpunkten und auf Netzwerkebenen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
11.18(c)(f) Sie SOC müssen in der Lage sein, die folgenden Funktionen auszuführen: (c) Schwachstellenmanagement; (f) Bereitstellung von Situationsinformationen zur Erkennung von Gegnern und Bedrohungen, einschließlich der Analyse und Durchführung von Bedrohungsinformationen sowie der Überwachung von Bedrohungsindikatoren (). IOC Dazu gehören fortschrittliche Verhaltensanalysen zur Erkennung signatur- und dateiloser Malware und zur Identifizierung von Anomalien, die Sicherheitsbedrohungen darstellen können, auch an Endpunkten und auf Netzwerkebenen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
Anhang 5.1 Führen Sie regelmäßig eine Überprüfung der Konfigurations- und Regeleinstellungen für alle Sicherheitsgeräte durch. Verwenden Sie automatisierte Tools, um Änderungen an den Konfigurations- und Regeleinstellungen zu überprüfen und zu überwachen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
Anhang 5.1 Führen Sie regelmäßig eine Überprüfung der Konfigurations- und Regeleinstellungen für alle Sicherheitsgeräte durch. Verwenden Sie automatisierte Tools, um Änderungen an den Konfigurations- und Regeleinstellungen zu überprüfen und zu überwachen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network (VPN) IPSec

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network () VPN IPSec

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network () VPN IPSec

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network (VPN) IPSec

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network (VPN) IPSec

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.5(b) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (b) Verwendung sicherer Tunnel wie Transport Layer Security (TLS) und Virtual Private Network (VPN) IPSec

s3- bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.5(c) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (c) Bereitstellung von Staging-Servern mit angemessenem Perimeterschutz und Schutz wie Firewall und Virenschutz. IPS

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
Anhang 5.5(c) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (c) Bereitstellung von Staging-Servern mit angemessenem Perimeterschutz und Schutz wie Firewall und Virenschutz. IPS

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
Anhang 5.5(c) Stellen Sie sicher, dass die Sicherheitskontrollen für server-to-server externe Netzwerkverbindungen Folgendes umfassen: (c) Bereitstellung von Staging-Servern mit adäquaten Perimeterabwehr- und Schutzmaßnahmen wie Firewall und Virenschutz. IPS

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endpunktgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrmaßnahmen und Schutzmaßnahmen wie Firewall IPS und Virenschutz bereit; und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endpunktgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrmaßnahmen und Schutzmaßnahmen wie Firewall IPS und Virenschutz bereit; und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endpunktgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrmaßnahmen und Schutzmaßnahmen wie Firewall IPS und Virenschutz bereit; und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endpunktgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrmaßnahmen und Schutzmaßnahmen wie Firewall IPS und Virenschutz bereit; und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrmaßnahmen und Schutzmaßnahmen wie Firewall und Virenschutz bereit IPS und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
Anhang 5.6 Stellen Sie sicher, dass die Sicherheitskontrollen für den Fernzugriff auf Server Folgendes umfassen: (a) Beschränken Sie den Zugriff nur auf gehärtete und gesperrte Endgeräte; (b) verwenden Sie sichere Tunnel wie TLS und VPNIPSec; (c) stellen Sie einen Gateway-Server mit angemessenen Perimeterabwehrsystemen und Schutzmaßnahmen wie Firewall und Virenschutz bereit IPS und (d) schließen Sie die entsprechenden Ports sofort nach Ablauf des Fernzugriffs.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
Anhang 10 Teil B – 1 (a) Ein Finanzinstitut muss eine robuste Cloud-Architektur entwerfen und sicherstellen, dass diese Gestaltung den einschlägigen internationalen Standards für die beabsichtigte Anwendung entspricht.

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
Anhang 10 Teil B – 1 (b) Finanzinstitute werden ermutigt, Zero-Trust-Prinzipien einzuführen, um eine cyberresistente Architektur zu schaffen, indem sie von einer „Sicherheitsverletzung“ ausgehen, Mikrosegmentierung defense-in-depth durchsetzen, Zugriffsrechte mit deny-by-default „geringsten Rechten“ durchsetzen und gegebenenfalls gründliche Inspektionen und kontinuierliche Validierungen durchführen.

alb-waf-enabled

Ensure AWS WAF ist auf Elastic Load Balancers () ELB aktiviert, um Webanwendungen zu schützen. A WAF hilft beim Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
Anhang 10 Teil B – 1 (b) Finanzinstitute werden ermutigt, Zero-Trust-Prinzipien anzuwenden, um eine cyberresistente Architektur zu schaffen, indem sie von einer „Sicherheitsverletzung“ ausgehen, Mikrosegmentierung und Zugriffsrechte mit deny-by-default „geringsten Rechten“ defense-in-depth durchsetzen und gegebenenfalls gründliche Inspektionen und kontinuierliche Validierungen durchführen.

subnet-auto-assign-public-ip ist deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
Anhang 10 Teil B – 1 (b) Finanzinstitute werden ermutigt, Zero-Trust-Prinzipien anzuwenden, um eine cyberresistente Architektur zu schaffen, indem sie von einer „Sicherheitsverletzung“ ausgehen, Mikrosegmentierung und Zugriffsrechte mit deny-by-default „geringsten Rechten“ kombinieren und gegebenenfalls gründliche Inspektionen und kontinuierliche Validierungen durchführen. defense-in-depth

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
Anhang 10 Teil B – 1 (b) Finanzinstitute werden ermutigt, Zero-Trust-Prinzipien anzuwenden, um eine cyberresistente Architektur zu schaffen, indem sie von einer „Sicherheitsverletzung“ ausgehen, Mikrosegmentierung und Zugriffsrechte mit den geringsten Rechten defense-in-depth durchsetzen und gegebenenfalls gründliche Inspektionen und kontinuierliche Validierungen durchführen. deny-by-default

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
Anhang 10 Teil B – 1 (c) Ein Finanzinstitut sollte bei der Bewältigung der Komplexität der Cloud-Netzwerkumgebung den neuesten Netzwerkarchitekturansatz und geeignete Netzwerkdesignkonzepte und -lösungen für die Verwaltung und Überwachung der granularen Netzwerksicherheit und die zentrale Netzwerkbereitstellung verwenden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
Anhang 10 Teil B – 1 (c) Ein Finanzinstitut sollte bei der Bewältigung der Komplexität der Cloud-Netzwerkumgebung den neuesten Netzwerkarchitekturansatz und geeignete Netzwerkdesignkonzepte und -lösungen für die Verwaltung und Überwachung der granularen Netzwerksicherheit und die zentrale Netzwerkbereitstellung verwenden.

vpc-flow-logs-enabled

Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
Anhang 10 Teil B – 1 (d) Ein Finanzinstitut sollte sichere und verschlüsselte Kommunikationskanäle für die Migration physischer Server, Anwendungen oder Daten auf die Cloud-Plattformen einrichten und nutzen.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
Anhang 10 Teil B – 1 (d) Ein Finanzinstitut sollte sichere und verschlüsselte Kommunikationskanäle für die Migration physischer Server, Anwendungen oder Daten auf die Cloud-Plattformen einrichten und nutzen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
Anhang 10 Teil B – 1 (f) i) Durch die zunehmende Nutzung von Anwendungsprogrammierschnittstellen (API) durch Finanzinstitute zur Vernetzung mit externen Anwendungsdienstleistern könnte die Effizienz der Bereitstellung neuer Dienste erhöht werden. Dies kann jedoch die Angriffsfläche für Cyberangriffe vergrößern und jedes Missmanagement kann die Auswirkungen eines Vorfalls im Bereich der Informationssicherheit verstärken. Ein Finanzinstitut sollte sicherstellen, dass es strengen Verwaltungs- und Kontrollmechanismen unterliegt, die Folgendes beinhalten: i) sie APIs sollten so konzipiert sein, dass ihre Dienste widerstandsfähig APIs sind, um das Risiko einzelner Ausfallstellen zu vermeiden, und eine sichere Konfiguration mit angemessenen Zugangskontrollen;

api-gwv2- authorization-type-configured

Stellen Sie sicher, dass für Ihre Amazon API Gateway API v2-Route ein Autorisierungstyp festgelegt ist, um unbefugten Zugriff auf die zugrunde liegenden Backend-Ressourcen zu verhindern.
Anhang 10 Teil B – 1 (f) ii) Durch die zunehmende Nutzung von Anwendungsprogrammierschnittstellen (API) durch Finanzinstitute zur Vernetzung mit externen Anwendungsdienstleistern könnte die Effizienz der Bereitstellung neuer Dienste erhöht werden. Dies kann jedoch die Angriffsfläche für Cyberangriffe vergrößern und jedes Missmanagement kann die Auswirkungen eines Vorfalls im Bereich der Informationssicherheit verstärken. Ein Finanzinstitut sollte sicherstellen, dass APIs es strengen Verwaltungs- und Kontrollmechanismen unterliegt, die Folgendes beinhalten: ii) sie APIs sollten mit angemessenen Maßnahmen zur Reaktion auf Zwischenfälle verfolgt und vor Cyberangriffen überwacht werden und rechtzeitig außer Betrieb genommen werden, wenn sie nicht mehr genutzt werden.

api-gw-associated-with-WAF

AWS WAFermöglicht es Ihnen, eine Reihe von Regeln (eine so genannte Web-Zugriffskontrollliste (WebACL)) zu konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway-Phase mit einem WAF Web verknüpft istACL, um sie vor böswilligen Angriffen zu schützen
Anhang 10 Teil B – 1 (f) ii) Durch die zunehmende Nutzung von Anwendungsprogrammierschnittstellen (API) durch Finanzinstitute zur Vernetzung mit externen Anwendungsdienstleistern könnte die Effizienz der Bereitstellung neuer Dienste erhöht werden. Dies kann jedoch die Angriffsfläche für Cyberangriffe vergrößern und jedes Missmanagement kann die Auswirkungen eines Vorfalls im Bereich der Informationssicherheit verstärken. Ein Finanzinstitut sollte sicherstellen, dass APIs es strengen Verwaltungs- und Kontrollmechanismen unterliegt, die Folgendes beinhalten: ii) sie APIs sollten mit angemessenen Maßnahmen zur Reaktion auf Zwischenfälle verfolgt und vor Cyberangriffen überwacht werden und rechtzeitig außer Betrieb genommen werden, wenn sie nicht mehr genutzt werden.

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
Anhang 10 Teil B – 2 (b) ii) Ein Finanzinstitut sollte kontinuierlich erweiterte Cloud-Funktionen nutzen, um die Sicherheit der Cloud-Services zu verbessern, und Finanzinstitute werden unter anderem aufgefordert: ii) unveränderliche Infrastrukturpraktiken für die Bereitstellung von Services anzuwenden, um das Ausfallrisiko zu verringern, indem sie eine neue Umgebung mit der neuesten stabilen Version der Software schaffen. Die laufende Überwachung der Cloud-Umgebung sollte auch die automatische Erkennung von Änderungen an der unveränderlichen Infrastruktur umfassen, um die Compliance-Prüfung zu verbessern und sich entwickelnde Cyberangriffe zu bekämpfen.

cloudformation-stack-notification-check

Um unbeabsichtigte Änderungen an den zugrunde liegenden AWS Ressourcen zu erkennen, stellen Sie sicher, dass Ihr CloudFormation Stack so konfiguriert ist, dass Ereignisbenachrichtigungen an ein SNS Amazon-Thema gesendet werden.
Anhang 10 Teil B – 3 (b) vi) Ein Finanzinstitut sollte sicherstellen, dass virtuelle Maschinen- und Container-Images ordnungsgemäß konfiguriert, gehärtet und überwacht werden. Dies beinhaltet Folgendes: vi) Gespeicherte Images werden einer Sicherheitsüberwachung unterzogen, um unbefugten Zugriff und Änderungen zu verhindern.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

aurora-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

dynamodb-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

ebs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

efs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

rds-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (AmazonRDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (a) i) Im Rahmen effektiver Wiederherstellungskapazitäten sollten Finanzinstitute sicherstellen, dass die bestehenden Sicherungs- und Wiederherstellungsverfahren auf Cloud-Services ausgedehnt werden, was Folgendes beinhaltet: i) Definition und Formalisierung der Sicherungs- und Wiederherstellungsstrategie in der Planungsphase der Cloud-Einführung;

s3-Plan resources-protected-by-backup

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (S3) -Buckets Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
Anhang 10 Teil B – 5 (b) Ein Finanzinstitut sollte sicherstellen, dass die Sicherungs- und Wiederherstellungsverfahren regelmäßig getestet werden, um die Wiederherstellungsfähigkeit zu überprüfen. Die Häufigkeit der Backup-Verfahren sollte der Kritikalität des Systems und dem Recovery Point Objective () RPO des Systems entsprechen. Bei erfolglosen Backups sollte das Finanzinstitut umgehend Abhilfemaßnahmen ergreifen.

backup-plan-min-frequency-and-min-retention-check

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
Anhang 10 Teil B – 5 (c) i) Ein Finanzinstitut sollte für eine ausreichende Sicherung und Wiederherstellung der virtuellen Maschine und des Containers sorgen, einschließlich der Backup-Konfigurationseinstellungen (für IaaS und PaaS, sofern relevant), was Folgendes beinhaltet: i) die Fähigkeit zur Wiederherstellung einer virtuellen Maschine und eines Containers gemäß den Vorgaben der Geschäftswiederherstellungsziele sicherstellen; point-in-time

backup-plan-min-frequency-and-min-retention-check

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

autoscaling-multiple-az

Zur Gewährleistung einer hohen Verfügbarkeit stellen Sie sicher, dass Ihre Auto-Scaling-Gruppe so konfiguriert ist, dass sie sich über mehrere Availability Zones erstreckt.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

elbv2-multiple-az

Elastic Load Balancing (ELB) verteilt Ihren eingehenden Traffic automatisch auf mehrere Ziele wie EC2 Instances, Container und IP-Adressen in einer Availability Zone. Um eine hohe Verfügbarkeit zu gewährleisten, stellen Sie sicher, dass Sie ELB Instances aus mehreren Availability Zones registriert haben.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

lambda-vpc-multi-az-überprüfen

Wenn Ihre AWS Lambda-Funktion so konfiguriert ist, dass sie eine Verbindung zu einer Virtual Private Cloud (VPC) in Ihrem Konto herstellt, stellen Sie die AWS Lambda-Funktion in mindestens zwei verschiedenen Availability Zones bereit, um sicherzustellen, dass Ihre Funktion für die Verarbeitung von Ereignissen im Falle einer Serviceunterbrechung in einer einzelnen Zone verfügbar ist.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

nlb-cross-zone-load-Balancing aktiviert

Aktivieren Sie den zonenübergreifenden Lastausgleich für Ihre NetworkLoad Balancer (NLBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Dadurch wird auch die Fähigkeit Ihrer Anwendung verbessert, den Verlust einer oder mehrerer Instances zu bewältigen.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

rds-cluster-multi-az-aktiviert

Für Amazon Relational Database Service (AmazonRDS) -Cluster sollte die Multi-AZ-Replikation aktiviert sein, um die Verfügbarkeit der gespeicherten Daten zu gewährleisten. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
Anhang 10 Teil B – 5 (d) i) Ein Finanzinstitut sollte die Resilienzanforderungen der Cloud-Services bewerten und geeignete Maßnahmen festlegen, die der Kritikalität des Systems angemessen sind, um die Verfügbarkeit der Services in extrem ungünstigen Szenarien sicherzustellen. Finanzinstitute sollten einen risikobasierten Ansatz in Betracht ziehen sowie nach und nach geeignete Kontrollmaßnahmen ergreifen, um die Verfügbarkeit der Services sicherzustellen und das Konzentrationsrisiko zu mindern. Zu den praktikablen Optionen gehören: i) Nutzung der Hochverfügbarkeits- und Redundanzfunktionen von Cloud-Services, um sicherzustellen, dass Produktionsrechenzentren über redundante Kapazitäten in verschiedenen Availability Zones verfügen;

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem überprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

eks-secrets-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Elastic Kubernetes Service (EKS) -Cluster so konfiguriert sind, dass Kubernetes-Secrets verschlüsselt sind. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon-S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
Anhang 10 Teil B – 8 (a) Ein Finanzinstitut sollte angemessene und relevante Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten sensiblen Daten zu schützen.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
Anhang 10 Teil B – 8 (d) Mit der zunehmenden Nutzung der Cloud ist die Verwaltung vieler Verschlüsselungsschlüssel, die zum Schutz von Daten verwendet werden, immer komplexer geworden und kann Finanzinstitute vor neue Herausforderungen stellen. Ein Finanzinstitut sollte bei der Schlüsselverwaltung einen umfassenden und zentralisierten Ansatz verfolgen, einschließlich der Verwendung eines zentralen Schlüsselverwaltungssystems, das die Generierung, Speicherung und Verteilung von Schlüsseln auf sichere und skalierbare Weise handhaben kann.

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
Anhang 10 Teil B – 8 (d) Mit der zunehmenden Nutzung der Cloud ist die Verwaltung vieler Verschlüsselungsschlüssel, die zum Schutz von Daten verwendet werden, immer komplexer geworden und kann Finanzinstitute vor neue Herausforderungen stellen. Ein Finanzinstitut sollte bei der Schlüsselverwaltung einen umfassenden und zentralisierten Ansatz verfolgen, einschließlich der Verwendung eines zentralen Schlüsselverwaltungssystems, das die Generierung, Speicherung und Verteilung von Schlüsseln auf sichere und skalierbare Weise handhaben kann.

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
Anhang 10 Teil B – 9 (a) ii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute sicherstellen, dass für den Zugriff auf die Verwaltungsebene strenge Kontrollen eingeführt werden, die Folgendes beinhalten können: ii) Einführung von „Least-Privilegien“ und starker Multi-Faktor-Authentifizierung (MFA) zum Beispiel sichere Passwörter, Soft-Tokens, privilegierte Zugangsverwaltungssysteme und Maker-Checker-Funktionen;

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer unternehmensinternen Passwortrichtlinie ausgestellt, verwaltet und verifiziert. IAM Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
Anhang 10 Teil B – 9 (a) ii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute sicherstellen, dass strenge Kontrollen für den Zugriff auf die Verwaltungsebene angewendet werden, die Folgendes beinhalten können: ii) Einführung von „Least-Privilegien“ und starker Multi-Faktor-Authentifizierung (MFA) zum Beispiel sichere Passwörter, Soft-Tokens, ein Tool zur Verwaltung privilegierter Zugriffe und Funktionen zur Maker-Checker-Funktion;

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM Benutzer aktiviert ist. MFAfügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr IAM Benutzer benötigenMFA.
Anhang 10 Teil B – 9 (a) ii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute den Einsatz strenger Kontrollen für den Zugriff auf die Verwaltungsebene sicherstellen, die Folgendes beinhalten können: ii) Einführung von „Least-Privilegien“ und einer starken Multi-Faktor-Authentifizierung (MFA) zum Beispiel sichere Passwörter, Soft-Tokens, ein Tool zur Verwaltung privilegierter Zugriffe und Funktionen zur Maker-Checker-Funktion;

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
Anhang 10 Teil B – 9 (a) ii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute strenge Kontrollen für den Zugriff auf die Verwaltungsebene sicherstellen, die Folgendes beinhalten können: ii) Einführung von „Least-Privilegien“ und starker Multi-Faktor-Authentifizierung (MFA) zum Beispiel sichere Kennwörter, Soft-Tokens, privilegierte Zugangsverwaltungssysteme und Maker-Checker-Funktionen;

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den MFA Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der kompromittierten AWS-Konten Benutzer reduzieren.
Anhang 10 Teil B – 9 (a) iii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute den Einsatz strenger Kontrollen für den Zugang zur Managementebene sicherstellen, die Folgendes beinhalten können: iii) eine detaillierte Zuteilung von Rechten für privilegierte Benutzer;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
Anhang 10 Teil B – 9 (a) iii) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute den Einsatz strenger Kontrollen für den Zugang zur Managementebene sicherstellen, die Folgendes beinhalten können: iii) eine detaillierte Zuteilung von Rechten für privilegierte Benutzer;

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
Anhang 10 Teil B – 9 (a) iv) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute den Einsatz strenger Kontrollen für den Zugang zur Managementebene sicherstellen, die Folgendes beinhalten können: iv) eine kontinuierliche Überwachung der von privilegierten Benutzern ausgeübten Aktivitäten;

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
Anhang 10 Teil B – 9 (a) iv) Die Managementebene ist ein wesentlicher Sicherheitsunterschied zwischen herkömmlicher Infrastruktur und Cloud-Computing, bei dem der Fernzugriff standardmäßig unterstützt wird. Diese Zugriffsebene könnte anfällig für Cyberangriffe sein und dadurch die Integrität der gesamten Cloud-Bereitstellung gefährden. Vor diesem Hintergrund sollten Finanzinstitute den Einsatz strenger Kontrollen für den Zugang zur Managementebene sicherstellen, die Folgendes beinhalten können: iv) eine kontinuierliche Überwachung der von privilegierten Benutzern ausgeübten Aktivitäten;

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
Anhang 10 Teil B – 12 (a) Ein Finanzinstitut sollte die in Cloud-Services gehosteten Daten gemäß den Bestimmungen des Abschnitts „Verhinderung von Datenverlust“ (Paragraphen 11.14 bis 11.16) dieses Grundsatzdokuments schützen, was auch die Erweiterung der Endpunktkapazität einschließt, wenn das Finanzinstitut seinen Mitarbeitern erlaubt, ihre eigenen Geräte für den Zugriff auf sensible Daten zu verwenden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
Anhang 10 Teil B – 12 (a) Ein Finanzinstitut sollte die in Cloud-Services gehosteten Daten gemäß den Bestimmungen des Abschnitts „Verhinderung von Datenverlust“ (Paragraphen 11.14 bis 11.16) dieses Grundsatzdokuments schützen, was auch die Erweiterung der Endpunktkapazität einschließt, wenn das Finanzinstitut seinen Mitarbeitern erlaubt, ihre eigenen Geräte für den Zugriff auf sensible Daten zu verwenden.

macie-status-check

Amazon Macie ist ein Datensicherheitsservice, der Machine Learning (ML) und Musterabgleich verwendet, um Ihre sensiblen Daten in Buckets von Amazon Simple Storage Service (Amazon S3) zu erkennen und zu schützen.
Anhang 10 Teil B – 14 (c) i) Ein Finanzinstitut sollte bei der Entwicklung seines Systems die folgenden zusätzlichen Maßnahmen in Betracht ziehenCIRP: i) Verbesserung seiner Fähigkeit, Sicherheitsverletzungen zu erkennen, um ein effektives Vorfallmanagement zu erreichen, einschließlich der Fähigkeit, Datenlecks im Dark Web zu erkennen;

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
Anhang 10 Teil B – 14 (c) i) Ein Finanzinstitut sollte bei der Entwicklung seines Systems die folgenden zusätzlichen Maßnahmen in Betracht ziehenCIRP: i) Verbesserung seiner Fähigkeit, Sicherheitsverletzungen zu erkennen, um ein effektives Vorfallmanagement zu erreichen, einschließlich der Fähigkeit, Datenlecks im Dark Web zu erkennen;

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for BNM RMiT.