Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Betriebspraktiken für CMMC Level 3
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Mustervorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Dienste den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen der Cybersecurity Maturity Model Certification (CMMC) Level 3 und den AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere CMMC-Level-3-Steuerelemente. Ein CMMC Level 3-Steuerelement kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Anmerkung
Aufgrund vorläufiger Hinweise des DoD und der CMMC-Akkreditierungsstelle zur FedRAMP-Reziprozität für CMMC Level 3 — 5 wird empfohlen, dass Kunden derzeit für alle Workloads, die die Einhaltung der CMMC-Stufen 3 bis 5 erfordern, Regionen AWS GovCloud (USA) verwenden. Aus diesem Grund sind die Conformance Pack-Vorlagen für die CMMC-Stufen 3 bis 5 nicht in der Conformance Pack-Konsole verfügbar, um Verwirrung zu vermeiden. Kunden können CloudFormation mithilfe der in diesem Dokument verlinkten YAML-Beispieldatei eigenständig Config-Regeln installieren, die die vorläufigen Leitlinien für CMMC Level 3-5 (ohne Konformitätspack-Vorlage) abbilden.
| Steuerelementekennung | Beschreibung der Steuerung | AWSConfig | Anleitung |
|---|---|---|---|
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Geschäft, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Rotation des Zugriffsschlüssels (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instanzmetadaten einzuschränken. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Geheimnissen kann den Zeitraum, in dem ein Geheimnis aktiv ist, verkürzen und möglicherweise die Auswirkungen auf das Geschäft verringern, wenn das Geheimnis kompromittiert wird. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Geheimnissen kann den Zeitraum, in dem ein Secret aktiv ist, verkürzen und möglicherweise die Auswirkungen auf das Geschäft verringern, wenn es kompromittiert wird. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder auf Geräte (einschließlich anderer Informationssysteme). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instanzmetadaten einzuschränken. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC.1.003 | Überprüfung und Kontrolle/Einschränkung der Verbindungen zu externen Informationssystemen und deren Nutzung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instanzmetadaten einzuschränken. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| AC.2.007 | Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.2.008 | Verwenden Sie nicht privilegierte Konten oder Rollen, wenn Sie auf nicht sicherheitsrelevante Funktionen zugreifen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.2.013 | Überwachen und steuern Sie Fernzugriffssitzungen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| AC.2.013 | Überwachen und steuern Sie Fernzugriffssitzungen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| AC.2.013 | Überwachen und steuern Sie Fernzugriffssitzungen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC.2.013 | Überwachen und steuern Sie Fernzugriffssitzungen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| AC.2.016 | Steuern Sie den CUI-Fluss gemäß den genehmigten Genehmigungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.014 | Setzen Sie kryptografische Mechanismen ein, um die Vertraulichkeit von Fernzugriffssitzungen zu schützen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.3.017 | Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne Absprache zu verringern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AC.3.018 | Verhindern Sie, dass Benutzer ohne Benutzerrechte privilegierte Funktionen ausführen, und erfassen Sie die Ausführung solcher Funktionen in Audit-Logs. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig auf diese Benutzer zurückgeführt werden können, sodass sie für ihre Aktionen zur Rechenschaft gezogen werden können. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Stellen Sie sicher, dass eine Mindestdauer der Ereignisprotokolldaten für Ihre Protokollgruppen aufbewahrt wird, um bei der Fehlerbehebung und bei forensischen Untersuchungen zu helfen. Das Fehlen verfügbarer Daten aus dem Protokoll vergangener Ereignisse macht es schwierig, potenziell bösartige Ereignisse zu rekonstruieren und zu identifizieren. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| AU.2.042 | Erstellen und speichern Sie Systemüberwachungsprotokolle und Aufzeichnungen, soweit dies für die Überwachung, Analyse, Untersuchung und Meldung rechtswidriger oder nicht autorisierter Systemaktivitäten erforderlich ist. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU.3.046 | Warnung im Falle eines Fehlers bei der Auditprotokollierung. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| AU.3.046 | Warnung im Falle eines Fehlers bei der Auditprotokollierung. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| AU.3.046 | Warnung im Falle eines Fehlers bei der Auditprotokollierung. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AU.3.046 | Warnung im Falle eines Fehlers bei der Auditprotokollierung. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Stellen Sie sicher, dass in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket die Sperre standardmäßig aktiviert ist. Da sensible Daten in S3-Buckets gespeichert sein können, sollten Sie zum Schutz dieser Daten Objektsperren im Ruhezustand erzwingen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| AU.3.049 | Schützen Sie Auditinformationen und Tools zur Auditprotokollierung vor unbefugtem Zugriff, Änderung und Löschung. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| AU.3.051 | Korrelieren Sie die Prüfungs-, Analyse- und Berichtsprozesse für die Untersuchung und Reaktion auf Hinweise auf rechtswidrige, unbefugte, verdächtige oder ungewöhnliche Aktivitäten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AU.3.051 | Korrelieren Sie die Prüfungs-, Analyse- und Berichtsprozesse für die Untersuchung und Reaktion auf Hinweise auf rechtswidrige, unbefugte, verdächtige oder ungewöhnliche Aktivitäten. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| CA.2.159 | Entwicklung und Umsetzung von Aktionsplänen zur Behebung von Mängeln und zur Verringerung oder Beseitigung von Schwachstellen in Organisationssystemen. | vuln-management-plan-exists (Prozessüberprüfung) | Stellen Sie sicher, dass ein Plan für das Schwachstellenmanagement entwickelt und umgesetzt wird, um über formell definierte Prozesse zur Behebung von Sicherheitslücken in Ihrer Umgebung zu verfügen. Dazu können Tools für das Schwachstellenmanagement, die Häufigkeit von Umgebungsscans, Rollen und Verantwortlichkeiten gehören. |
| CA.3.161 | Überwachen Sie die Sicherheitskontrollen kontinuierlich, um die kontinuierliche Wirksamkeit der Kontrollen sicherzustellen. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| CA.3.161 | Überwachen Sie die Sicherheitskontrollen kontinuierlich, um die kontinuierliche Wirksamkeit der Kontrollen sicherzustellen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| CA.3.161 | Überwachen Sie die Sicherheitskontrollen kontinuierlich, um die kontinuierliche Wirksamkeit der Kontrollen sicherzustellen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| CM.2.061 | Einrichtung und Pflege von Basiskonfigurationen und Inventarisierungen der Organisationssysteme (einschließlich Hardware, Software, Firmware und Dokumentation) während der jeweiligen Lebenszyklen der Systementwicklung. | Diese Regel stellt sicher, dass Elastic IPs, die einer Amazon Virtual Private Cloud (Amazon VPC) zugewiesen sind, an Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder verwendete Elastic Network Interfaces angehängt werden. Diese Regel hilft bei der Überwachung ungenutzter EIPs in Ihrer Umgebung. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| CM.2,062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| CM.2,062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| CM.2.062 | Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass sie nur die wichtigsten Funktionen bereitstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| CM.2,063 | Steuern und überwachen Sie vom Benutzer installierte Software. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM.2.063 | Steuern und überwachen Sie vom Benutzer installierte Software. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM.2.063 | Steuern und überwachen Sie vom Benutzer installierte Software. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und vertrauliche Daten offengelegt werden können. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon Elastic Beanstalk Beanstalk-Umgebung wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert sind. Es ist eine bewährte Methode zur Sicherung von Systemen, sich über die Installation von Patches auf dem Laufenden zu halten. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| CM.2.064 | Einrichtung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Produkte der Informationstechnologie, die in Organisationssystemen eingesetzt werden. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| CM.2,065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| CM.2.065 | Verfolgen, überprüfen, genehmigen oder ablehnen und protokollieren Sie Änderungen an Organisationssystemen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| CM.3.068 | Beschränken, deaktivieren oder verhindern Sie die Verwendung unnötiger Programme, Funktionen, Ports, Protokolle und Dienste. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| IA.1.076 | Identifizieren Sie Benutzer von Informationssystemen, Prozesse, die im Namen von Benutzern handeln, oder Geräte. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| IA.1.077 | Authentifizieren (oder verifizieren) Sie die Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf organisatorische Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| IA.2.078 | Erzwingen Sie bei der Erstellung neuer Passwörter eine Mindestkomplexität und eine Änderung der Zeichen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| IA.2.079 | Verbietet die Wiederverwendung von Passwörtern für eine bestimmte Anzahl von Generationen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da sensible Daten für die API-Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (Service) OpenSearch -Domains aktiviert ist. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWSKMS) verschlüsselt werden müssen. Da vertrauliche Daten in veröffentlichten Nachrichten im Ruhezustand enthalten sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Service-Domains aktiviert ist. OpenSearch | |
| IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| IA.3.083 | Verwenden Sie die Multifaktor-Authentifizierung für den lokalen und Netzwerkzugriff auf privilegierte Konten und für den Netzwerkzugriff auf nicht privilegierte Konten. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| IA.3.083 | Verwenden Sie die Multifaktor-Authentifizierung für den lokalen und Netzwerkzugriff auf privilegierte Konten und für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| IA.3.083 | Verwenden Sie die Multifaktor-Authentifizierung für den lokalen und Netzwerkzugriff auf privilegierte Konten und für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| IA.3.083 | Verwenden Sie die Multifaktor-Authentifizierung für den lokalen und Netzwerkzugriff auf privilegierte Konten und für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| IA.3.086 | Deaktivieren Sie Identifikatoren nach einem bestimmten Zeitraum der Inaktivität. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| IA.3.086 | Deaktivieren Sie Identifikatoren nach einem bestimmten Zeitraum der Inaktivität. | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| IR.2.092 | Richten Sie eine Fähigkeit zur Bearbeitung von Betriebsvorfällen für Organisationssysteme ein, die Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| IR.2.092 | Richten Sie eine Fähigkeit zur Bearbeitung von Betriebsvorfällen für Organisationssysteme ein, die Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| IR.2.092 | Richten Sie eine Fähigkeit zur Bearbeitung von Betriebsvorfällen für Organisationssysteme ein, die Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Sie können diese Klassifizierungen zur Festlegung von Strategien und Prioritäten zur Behebung verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| IR.2.092 | Richten Sie eine Fähigkeit zur Bearbeitung von Betriebsvorfällen für Organisationssysteme ein, die Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| IR.2.092 | Richten Sie eine Fähigkeit zur Bearbeitung von Betriebsvorfällen für Organisationssysteme ein, die Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| IR.2.093 | Ereignisse erkennen und melden. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand von Amazon EC2 EC2-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Datenverkehr an eine neue Amazon EC2 EC2-Instance gesendet. | |
| IR.2.093 | Ereignisse erkennen und melden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| IR.2.093 | Ereignisse erkennen und melden. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| IR.2.093 | Ereignisse erkennen und melden. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| MA.2.113 | Erfordert eine Multifaktor-Authentifizierung, um nichtlokale Wartungssitzungen über externe Netzwerkverbindungen einzurichten und solche Verbindungen zu beenden, wenn die nichtlokale Wartung abgeschlossen ist. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| MA.2.113 | Erfordert eine Multifaktor-Authentifizierung, um nichtlokale Wartungssitzungen über externe Netzwerkverbindungen einzurichten und solche Verbindungen zu beenden, wenn die nichtlokale Wartung abgeschlossen ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| RE.2.137 | Führen Sie regelmäßig Datensicherungen durch und testen Sie sie. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| RE.2.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und belastbare Datensicherungen gemäß den organisatorischen Vorgaben durch. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| RM.2.142 | Suchen Sie regelmäßig nach Sicherheitslücken in Unternehmenssystemen und -anwendungen und wenn neue Sicherheitslücken entdeckt werden, die diese Systeme und Anwendungen betreffen. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| RM.2.142 | Suchen Sie regelmäßig nach Sicherheitslücken in Unternehmenssystemen und -anwendungen und wenn neue Sicherheitslücken entdeckt werden, die diese Systeme und Anwendungen betreffen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| RM.2.142 | Suchen Sie regelmäßig nach Sicherheitslücken in Unternehmenssystemen und -anwendungen und wenn neue Sicherheitslücken entdeckt werden, die diese Systeme und Anwendungen betreffen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Sie können diese Klassifizierungen zur Festlegung von Strategien und Prioritäten zur Behebung verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| RM.2.142 | Suchen Sie regelmäßig nach Sicherheitslücken in Unternehmenssystemen und -anwendungen und wenn neue Sicherheitslücken entdeckt werden, die diese Systeme und Anwendungen betreffen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC.1.175 | Überwachen, kontrollieren und schützen Sie die organisatorische Kommunikation (d. h. Informationen, die von organisatorischen Informationssystemen übertragen oder empfangen werden) an den Außengrenzen und den wichtigsten internen Grenzen der Informationssysteme. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und vertrauliche Daten offengelegt werden können. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht im Klartext. Das Speichern dieser Variablen im Klartext führt zu unbeabsichtigter Offenlegung von Daten und unberechtigtem Zugriff. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS-I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS-Volumes, indem Konflikte zwischen Amazon EBS-I/O-Vorgängen und anderem Datenverkehr Ihrer Instance minimiert werden. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist so konzipiert, dass sie äußerst zuverlässig ist. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket die Sperre standardmäßig aktiviert ist. Da sensible Daten in S3-Buckets gespeichert sein können, sollten Sie zum Schutz dieser Daten Objektsperren im Ruhezustand erzwingen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| SC.3.180 | Setzen Sie Architekturentwürfe, Softwareentwicklungstechniken und Prinzipien der Systemtechnik ein, die eine effektive Informationssicherheit innerhalb von Organisationssystemen fördern. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon VPC-Ressourcen führen kann. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC.3.182 | Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen über gemeinsam genutzte Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.185 | Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von CUI während der Übertragung zu verhindern, sofern nicht anderweitig durch alternative physische Schutzmaßnahmen geschützt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.187 | Einrichtung und Verwaltung kryptografischer Schlüssel für die Kryptografie, die in Organisationssystemen eingesetzt werden. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Krypto-Periode erreicht haben. | |
| SC.3.187 | Einrichtung und Verwaltung kryptografischer Schlüssel für die Kryptografie, die in Organisationssystemen eingesetzt werden. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWSKMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, kann diese Regel dabei helfen, zu überprüfen, ob alle Schlüssel, die gelöscht werden sollen, vorhanden sind, falls ein Schlüssel versehentlich geplant wurde. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da sensible Daten für die API-Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log-Gruppen aktiviert ist. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWSKMS) verschlüsselt werden müssen. Da vertrauliche Daten in veröffentlichten Nachrichten im Ruhezustand enthalten sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC.3.191 | Schützen Sie die Vertraulichkeit von CUI im Ruhezustand. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| SI.1.210 | Identifizieren, melden und korrigieren Sie Fehler im Informations- und Informationssystem rechtzeitig. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI.1.210 | Identifizieren, melden und korrigieren Sie Fehler im Informations- und Informationssystem rechtzeitig. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI.1.210 | Identifizieren, melden und korrigieren Sie Fehler im Informations- und Informationssystem rechtzeitig. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI.1.211 | Sorgen Sie an geeigneten Stellen innerhalb der Informationssysteme von Organisationen für Schutz vor bösartigem Code. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI.1.213 | Führen Sie regelmäßige Scans des Informationssystems und Echtzeitscans von Dateien aus externen Quellen durch, während Dateien heruntergeladen, geöffnet oder ausgeführt werden. | Das Scannen von Bildern im Amazon Elastic Container Repository (ECR) hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Wenn Sie das Scannen von Bildern in ECR-Repositorys aktivieren, wird die Integrität und Sicherheit der gespeicherten Bilder zusätzlich überprüft. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| SI.2.214 | Überwachen Sie die Warnmeldungen und Hinweise zur Systemsicherheit und ergreifen Sie entsprechende Maßnahmen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des eingehenden und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI.2.217 | Identifizieren Sie die unbefugte Nutzung von Organisationssystemen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for CMMC Level 3.
