Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Best Practices für den Betrieb von CIS AWS Foundations Benchmark v1.4 Level 2
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 2 und AWS verwalteten Konfigurationsregeln/Prozessprüfungen AWS Config . Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere CIS Amazon Web Services Foundation v1.4 Level 2-Steuerelemente. Eine CIS-Amazon-Web-Services-Foundation-v1.4-Level-2-Kontrolle kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Weitere Informationen zu Prozessprüfungen finden Sie unter Prozessprüfungen.
AWS-Region: Alle Länder AWS-Regionen , in denen Conformance Packs unterstützt werden (Regionalunterstützung), außer AWS GovCloud (USA-Ost), AWS GovCloud (US-West) und Naher Osten (Bahrain)
Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen |
---|---|---|---|
1.1 | Verwalten der aktuellen Kontaktdaten | account-contact-details-configured (Prozessüberprüfung) | Stellen Sie sicher, dass die Kontakt-E-Mail-Adresse und Telefonnummer für AWS -Konten aktuell und mehr als einer Person in Ihrer Organisation zugeordnet sind. Stellen Sie sicher, dass im Bereich „Mein Konto“ der Konsole im Abschnitt „Kontaktinformationen“ die richtigen Informationen angegeben sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.2 | Sicherstellen, dass Kontaktdaten für Sicherheitsfragen registriert sind | account-security-contact-configured (Prozessüberprüfung) | Stellen Sie sicher, dass die Kontakt-E-Mail-Adresse und die Telefonnummer des Sicherheitsteams Ihres Unternehmens aktuell sind. Stellen Sie sicher, dass im Bereich „Mein Konto“ der AWS Management-Konsole im Bereich Sicherheit die richtigen Informationen angegeben sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.4 | Sicherstellen, dass kein Root-Benutzerzugriffsschlüssel vorhanden ist | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
1.5 | Sicherstellen, dass MFA für den Root-Benutzer aktiviert ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
1,6 | Sicherstellen, dass MFA für den Root-Benutzer aktiviert ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
1,7 | Beseitigen der Verwendung des Root-Benutzers für administrative und tägliche Aufgaben | root-account-regular-use (Prozessüberprüfung) | Stellen Sie sicher, dass das Root-Konto nicht für alltägliche Aufgaben verwendet wird. Führen Sie in IAM einen Anmeldeinformationsbericht aus, um zu untersuchen, wann der Root-Benutzer zuletzt verwendet wurde. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.8 | Sicherstellen, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen oder mehr erfordert | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
1.9 | Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen des NIST SP 800-63 und des AWS Foundational Security Best Practices-Standards für Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
1.10 | Sicherstellen, dass für alle Benutzer mit Konsolenpasswort die Multi-Faktor-Authentifizierung (MFA) aktiviert ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
1.11 | Kein Einrichten von Zugangsschlüsseln bei der Ersteinrichtung für alle Benutzer mit Konsolenpasswort | iam-user-console-and- api-access-at-creation (Prozessprüfung) | Stellen Sie sicher, dass bei der Ersteinrichtung für alle Benutzer mit Konsolenpasswort keine Zugangsschlüssel eingerichtet werden. Vergleichen Sie für alle Benutzer mit Konsolenzugriff die Erstellungszeit des Benutzers mit dem Erstellungsdatum des Zugriffsschlüssels. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.12 | Sicherstellen, dass Anmeldeinformationen, die 45 Tage oder länger nicht verwendet wurden, deaktiviert werden | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (CIS-Standardwert: 45). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
1.13 | Sicherstellen, dass für jeden Benutzer nur ein aktiver Zugriffsschlüssel verfügbar ist | iam-user-single-access-Taste (Prozessprüfung) | Stellen Sie sicher, dass für jeden einzelnen Benutzer nur ein aktiver Zugriffsschlüssel verfügbar ist. Stellen Sie für alle Benutzer sicher, dass auf der Registerkarte Sicherheitsanmeldeinformationen für jeden Benutzer in IAM nur ein aktiver Schlüssel verwendet wird. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.14 | Sicherstellen, dass die Zugriffsschlüssel spätestens alle 90 Tage rotiert werden | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
1.15 | Sicherstellen, dass Benutzer Berechtigungen nur über Gruppen erhalten | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
1.15 | Sicherstellen, dass Benutzer Berechtigungen nur über Gruppen erhalten | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
1.15 | Sicherstellen, dass Benutzer Berechtigungen nur über Gruppen erhalten | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
1.16 | Sicherstellen, dass keine IAM-Richtlinien angehängt werden, die vollständige Administratorrechte (*:*) zulassen | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
1,17 | Stellen Sie sicher, dass eine Support-Rolle eingerichtet wurde, um Vorfälle mit AWS Support zu verwalten | AWS Identity and Access Management (IAM) kann Sie bei der Verwaltung von Zugriffsberechtigungen und Autorisierungen unterstützen, indem sichergestellt wird, dass IAM-Richtlinien den entsprechenden Benutzern, Rollen oder Gruppen zugewiesen werden. Die Einschränkung dieser Richtlinien beinhaltet auch die Prinzipien der geringsten Berechtigung und der Aufgabentrennung. Diese Regel erfordert, dass Sie das policyARN auf arn:aws:iam: AWSSupportAccess :aws:policy/ setzen, um das Vorfallmanagement mit Support zu ermöglichen. AWS | |
1.18 | Stellen Sie sicher, dass IAM-Instanzrollen für den AWS Ressourcenzugriff von Instanzen aus verwendet werden | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
1,19 | Sicherstellen, dass alle abgelaufenen SSL/TLS-Zertifikate, die in AWS IAM gespeichert sind, entfernt werden | iam-expired-certificates (Prozessüberprüfung) | Stellen Sie sicher, dass alle abgelaufenen SSL/TLS-Zertifikate, die in IAM gespeichert sind, entfernt werden. Führen Sie in der Befehlszeile mit der installierten AWS CLI den Befehl „AWS iam list-server-certificates“ aus und ermitteln Sie, ob abgelaufene Serverzertifikate vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.20 | Stellen Sie sicher, dass AWS IAM Access Analyzer aktiviert ist | iam-access-analyzer-enabled (Prozessüberprüfung) | Stellen Sie sicher, dass IAM Access Analyzer aktiviert ist. Wählen Sie im IAM-Bereich der Konsole „Zugriffs-Analyzer“ aus und stellen Sie sicher, dass der STATUS auf „Aktiv“ gesetzt ist. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
1.21 | Stellen Sie sicher, dass Benutzer zentral über den Identitätsverbund oder AWS Organizations für Umgebungen mit mehreren Konten verwaltet werden | account-part-of-organizations | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. |
2.1.1 | Stellen Sie sicher, dass alle S3-Buckets verwendet werden encryption-at-rest | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
2.1.2 | Sicherstellen, dass die S3-Bucket-Richtlinie so eingestellt ist, dass HTTP-Anfragen abgelehnt werden | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
2.1.3 | Sicherstellen, dass die MFA-Löschfunktion für S3-Buckets aktiviert ist | Mit der Versionsverwaltung von Amazon-Simple-Storage-Service (Amazon-S3)-Buckets können Sie mehrere Varianten eines Objekts im selben Amazon-S3-Bucket speichern. Das Hinzufügen der Multi-Faktor-Authentifizierung (MFA)-Löschfunktion zu einem S3-Bucket erfordert einen zusätzlichen Authentifizierungsfaktor, um den Versionsstatus Ihres Buckets zu ändern oder eine Objektversion zu löschen. Die MFA-Löschfunktion kann eine zusätzliche Sicherheitsebene für den Fall hinzufügen, dass Sicherheitsanmeldeinformationen kompromittiert oder unbefugte Zugriffe gewährt werden. | |
2.1.5 | Sicherstellen, dass S3-Buckets mit „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“ konfiguriert sind | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
2.1.5 | Sicherstellen, dass S3-Buckets mit „Öffentlichen Zugriff blockieren (Bucket-Einstellungen)“ konfiguriert sind | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
2.2.1 | Sicherstellen, dass die EBS-Volume-Verschlüsselung aktiviert ist | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
2.2.1 | Sicherstellen, dass die EBS-Volume-Verschlüsselung aktiviert ist | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
2.3.1 | Sicherstellen, dass die Verschlüsselung für RDS-Instances aktiviert ist | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
2.3.1 | Sicherstellen, dass die Verschlüsselung für RDS-Instances aktiviert ist | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
3.1 | Stellen Sie sicher CloudTrail , dass es in allen Regionen aktiviert ist | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
3.2 | Stellen CloudTrail Sie sicher, dass die Überprüfung der Protokolldatei aktiviert ist | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
3.3 | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
3.3 | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
3.3 | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
3.4 | Stellen Sie sicher, dass die CloudTrail Pfade in Logs integriert CloudWatch sind | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
3.5 | Stellen Sie sicher, dass AWS Config in allen Regionen aktiviert ist | config-enabled-all-regions (Prozessüberprüfung) | Stellen Sie sicher, dass AWS Config in allen AWS Regionen aktiviert ist. Stellen Sie im AWS Config-Bereich der Konsole für jede aktivierte Region sicher, dass der AWS Config-Recorder korrekt konfiguriert ist. Stellen Sie sicher, dass die Aufzeichnung globaler AWS -Ressourcen in mindestens einer Region aktiviert ist. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
3.6 | Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
3.7 | Stellen Sie sicher, dass CloudTrail Protokolle im Ruhezustand mithilfe von KMS-CMKs verschlüsselt sind | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
3.8 | Sicherstellen, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Kryptoperiode erreicht haben. | |
3.9 | Sicherstellen, dass die VPC-Flow-Protokollierung in allen VPCs aktiviert ist | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
3.10 | Sicherstellen, dass die Protokollierung auf Objektebene für Schreibereignisse für den S3-Bucket aktiviert ist | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
3,11 | Sicherstellen, dass die Protokollierung auf Objektebene für Schreibereignisse für den S3-Bucket aktiviert ist | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
4.1 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind | alarm-unauthorized-api-calls (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.2 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind | alarm-sign-in-without-mfa (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung bei der AWS Management Console ohne Multi-Faktor-Authentifizierung (MFA) vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.3 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Verwendung des Root-Kontos vorhanden sind | alarm-root-account-use (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Verwendung des Root-Kontos vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.4 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind | alarm-iam-policy-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.5 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind | alarm-cloudtrail-config-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS CloudTrail Konfigurationsänderungen vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.6 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Authentifizierungsfehler in der AWS Management Console vorhanden sind | alarm-console-auth-failures (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Authentifizierungsfehler in der AWS Management Console vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.7 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden erstellten CMKs vorhanden sind | alarm-kms-disable-or-delete-cmk (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden erstellten CMKs vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.8 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind | alarm-s3- bucket-policy-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4,9 bis 4,9 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Konfigurationsänderungen vorhanden sind | alarm-aws-config-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für AWS -Config-Konfigurationsänderungen vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.10 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind | alarm-vpc-secrity-group-ändern (Prozessprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.11 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind | alarm-vpc-nacl-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.12 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind | alarm-vpc-network-gateway-ändern (Prozessprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.13 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind | alarm-vpc-route-table-ändern (Prozessprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.14 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind | alarm-vpc-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Amazon Virtual Private Cloud (VPC) vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
4.15 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an AWS Organizations vorhanden sind | alarm-organizations-change (Prozessüberprüfung) | Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an AWS Organizations vorhanden sind. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
5.1 | Sicherstellen, dass keine Netzwerk-ACLs den Zugang von 0.0.0.0/0 zu Remoteserver-Verwaltungsports zulassen | Stellen Sie sicher, dass keine Netzwerk-ACLs den öffentlichen Zugang zu Remoteserver-Verwaltungsports zulassen. Stellen Sie sicher, dass im VPC-Bereich der Konsole Netzwerk-ACLs mit der Quelle „0.0.0.0/0“ vorhanden sind, die Ports oder Portbereiche zulassen, einschließlich Remote-Server-Admin-Ports. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ | |
5.2 | Sicherstellen, dass keine Sicherheitsgruppen den Zugang von 0.0.0.0/0 zu Remoteserver-Verwaltungsports zulassen | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
5.2 | Sicherstellen, dass keine Sicherheitsgruppen den Zugang von 0.0.0.0/0 zu Remoteserver-Verwaltungsports zulassen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1–BlockedPort5 festlegen (CIS-Standardwert: 3389). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
5.3 | Sicherstellen, dass die Standardsicherheitsgruppe jeder VPC den gesamten Datenverkehr einschränkt | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
5.4 | Sicherstellen, dass Routing-Tabellen für VPC-Peering den „geringsten Zugriff“ haben | vpc-peering-least-access (Prozessüberprüfung) | Stellen Sie sicher, dass Routing-Tabellen für Amazon-VPC-Peering den „geringsten Zugriff“ haben. Überprüfen Sie im VPC-Bereich der Konsole die Einträge in der Routing-Tabelle, um sicherzustellen, dass die geringste Anzahl von Subnetzen oder Hosts, die zur Erfüllung des Peering-Zwecks erforderlich sind, routingfähig ist. Weitere Informationen zur Prüfung dieser Kontrolle finden Sie im Dokument „CIS Amazon Web Services Foundations Benchmark Version 1.4.0“, verfügbar unter https://www.cisecurity.org/benchmark/amazon_web_services/ |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for CIS AWS Foundations Benchmark v1.4 Level 2.