Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Betriebspraktiken für FedRAMP (High Part 2)
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Federal Risk and Authorization Management Program (FedRAMP) und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf ein oder mehrere FedRAMP-Steuerelemente. Eine FedRAMP-Kontrolle kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen |
---|---|---|---|
AC-02 (11) | Das Informationssystem setzt organisationsdefinierte Umstände und/oder Nutzungsbedingungen für organisationsdefinierte Systemkonten durch. | Verwenden Sie Amazon GuardDuty , um die Verwendung von kurzfristigen Anmeldeinformationen im Zusammenhang mit IAM-Instance-Rollen zu überwachen. Amazon kann GuardDuty mithilfe von Check überprüfen, ob Anmeldeinformationen in IAM-Instanzprofilen exfiltriert wurden. UnauthorizedAccess | |
AC-02 (12) (a) | Die Organisation: a. Überwacht die Konten des Informationssystems im Hinblick auf [Zuordnung: von der Organisation definierte untypische Nutzung]. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff für zugewiesenes Personal nur dann, wenn dies zur Erledigung der Aufgabe für den Zugriff auf den Sicherheitsplan erforderlich ist. | Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
AC-06 (03) | Die Organisation autorisiert den Netzwerkzugriff auf [Zuweisung: organisationsdefinierte privilegierte Befehle] nur für [Aufgabe: organisationsdefinierte zwingende betriebliche Anforderungen] und dokumentiert die Gründe für diesen Zugriff im Sicherheitsplan für das System. | Verwalten Sie den Zugriff auf Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster, indem Sie sicherstellen, dass der Kubernetes-API-Serverendpunkt nicht öffentlich zugänglich ist. Indem Sie den öffentlichen Zugriff auf den Kubernetes API-Serverendpunkt einschränken, können Sie das Risiko eines unbefugten Zugriffs auf Ihren EKS-Cluster und seine Ressourcen verringern. | |
AU-05 (02) | Das Informationssystem warnt wichtige Mitarbeiter innerhalb der festgelegten Zeit, wenn das zugewiesene Speichervolumen für Audit-Logs einen bestimmten Prozentsatz der maximalen Audit-Log-Speicherkapazität des Repositorys erreicht. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
AU-06 (04) | Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
AU-06 (05) | Das Unternehmen kombiniert die Analyse von Auditaufzeichnungen mit der Analyse von Informationen zum Schwachstellen-Scanning, Leistungsdaten und Informationen zur Systemüberwachung, um die Fähigkeit, unangemessene oder ungewöhnliche Aktivitäten zu identifizieren, weiter zu verbessern. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
AU-06 (05) | Die Organisation kombiniert die Analyse von Auditaufzeichnungen mit der Analyse von [Auswahl (eine oder mehrere): Informationen zum Scannen von Sicherheitslücken; Leistungsdaten; Informationen zur Systemüberwachung; [Aufgabe: von der Organisation definierte Daten/Informationen aus anderen Quellen]], um die Fähigkeit, unangemessene oder ungewöhnliche Aktivitäten zu identifizieren, weiter zu verbessern. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
AU-06 (07) | Die Organisation legt für jeden Systemprozess, jede Rolle und jeden Benutzer im Zusammenhang mit der Prüfung, Analyse und Berichterstattung von Prüfdatensätzen zulässige Aktionen fest. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
AU-06 (07) | Die Organisation legt die zulässigen Aktionen für jede [Auswahl (eine oder mehrere): Systemprozess; Rolle; Benutzer] fest, die mit der Prüfung, Analyse und Berichterstattung von Prüfdatensätzen in Verbindung stehen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
AU-09 (02) | Das Informationssystem implementiert kryptografische Mechanismen zum Schutz der Integrität von Prüfungsinformationen und Prüfungstools. | Verwenden Sie die Validierung von AWS CloudTrail Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
AU-09 (02) | Das Informationssystem implementiert kryptografische Mechanismen zum Schutz der Integrität von Prüfungsinformationen und Prüfungstools. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Protokolle aktiviert ist AWS CloudTrail . | |
AU-09 (02) | Das Informationssystem implementiert kryptografische Mechanismen zum Schutz der Integrität von Prüfungsinformationen und Prüfungstools. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
AU-09 (02) | Das Informationssystem implementiert kryptografische Mechanismen zum Schutz der Integrität von Prüfungsinformationen und Prüfungstools. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
AU-09 (03) | Das Informationssystem liefert unwiderlegbare Beweise dafür, dass eine Person Leistungen erbracht hat. | Verwenden Sie die Validierung von AWS CloudTrail Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
AU-09 (03) | Das Informationssystem schränkt den Netzwerkzugriff auf Auditprotokolldaten ein. | Stellt sicher, dass S3-Buckets, die zum Speichern von CloudTrail Protokollen verwendet werden, nicht öffentlich zugänglich sind. | |
AU-10 | Das Informationssystem liefert unwiderlegbare Beweise dafür, dass eine Person (oder ein Prozess, der im Namen einer Einzelperson handelt) durchgeführt hat [Aufgabe: von der Organisation definierte Maßnahmen, die unter die Nichtabstreitbarkeit fallen]. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen der Management Console bei der Nichtabstreitbarkeit helfen. AWS Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
AU-10 | Das Informationssystem liefert unwiderlegbare Beweise dafür, dass eine Person (oder ein Prozess, der im Namen einer Einzelperson handelt) [Aufgabe: von der Organisation definierte Maßnahmen, die unter die Nichtabstreitbarkeit fallen] durchgeführt hat. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Spuren aktiviert ist. AWS CloudTrail | |
AU-10 | Das Informationssystem liefert unwiderlegbare Beweise dafür, dass eine Person (oder ein Prozess, der im Namen einer Person handelt) [Aufgabe: von der Organisation definierte Maßnahmen, die unter die Nichtabstreitbarkeit fallen] durchgeführt hat. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der Management Console auf. AWS Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] zu einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Zuordnung: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen den Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] in einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Aufgabe: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
AU-12 | Die Organisation stellt Prüfaufzeichnungen aus [Zuordnung: organisationsdefinierte Systemkomponenten] zu einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Zuordnung: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen den Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
AU-12 | Die Organisation stellt Prüfprotokolle aus [Aufgabe: organisationsdefinierte Systemkomponenten] zu einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Zuordnung: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen den Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. AWS Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
AU-12 | Die Organisation stellt Prüfprotokolle aus [Aufgabe: organisationsdefinierte Systemkomponenten] zu einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Zuordnung: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen den Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | AWS CloudTrail AWS zeichnet Aktionen und API-Aufrufe der Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] zu einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Zuordnung: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen den Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] in einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Aufgabe: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] in einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Aufgabe: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
AU-12 | Die Organisation stellt Prüfdatensätze aus [Zuordnung: organisationsdefinierte Systemkomponenten] in einem systemweiten (logischen oder physischen) Prüfpfad zusammen, der zeitlich mit [Aufgabe: organisationsdefiniertes Toleranzniveau für die Beziehung zwischen Zeitstempeln einzelner Datensätze im Prüfpfad] korreliert. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
CM-03 | Die Organisation bestimmt und dokumentiert die Arten von Änderungen am System, die konfigurationsgesteuert werden. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
CM-08 (02) | Die Organisation gewährleistet die Aktualität, Vollständigkeit, Genauigkeit und Verfügbarkeit des Inventars der Systemkomponenten mithilfe von [Aufgabe: organisationsdefinierte automatisierte Mechanismen]. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
CM-08 (02) | Die Organisation gewährleistet die Aktualität, Vollständigkeit, Genauigkeit und Verfügbarkeit des Inventars der Systemkomponenten mithilfe von [Aufgabe: organisationsdefinierte automatisierte Mechanismen]. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
CM-08 (02) | Die Organisation gewährleistet die Aktualität, Vollständigkeit, Genauigkeit und Verfügbarkeit des Inventars der Systemkomponenten mithilfe von [Aufgabe: organisationsdefinierte automatisierte Mechanismen]. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält. | |
CP-02 (05) | Die Organisation erstellt einen Plan für die Fortführung der Mission und der Geschäftsfunktionen mit minimalem oder keinem Verlust der Betriebskontinuität und hält diese Kontinuität bis zur vollständigen Wiederherstellung des Systems an den primären Verarbeitungs- und/oder Speicherstandorten aufrecht. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Prüft, ob ein Wiederherstellungspunkt frühestens nach Ablauf des angegebenen Zeitraums abläuft. Organizations legen im Rahmen der Notfallplanung Ziele für die Wiederherstellungszeit und den Erholungspunkt fest. Die Konfiguration des alternativen Speicherstandorts umfasst die physischen Einrichtungen und die Systeme, die Wiederherstellungsvorgänge unterstützen und die Zugänglichkeit und korrekte Ausführung sicherstellen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Prüft, ob Amazon Relational Database Service (Amazon RDS) -Datenbanken in AWS Backup-Plänen vorhanden sind. Organizations legen im Rahmen der Notfallplanung Ziele für die Wiederherstellungszeit und den Erholungspunkt fest. Die Konfiguration des alternativen Speicherstandorts umfasst die physischen Einrichtungen und die Systeme, die Wiederherstellungsvorgänge unterstützen und die Zugänglichkeit und korrekte Ausführung sicherstellen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Prüft, ob die Amazon DynamoDB-Tabelle in AWS Backup-Plänen vorhanden ist. Organizations legen im Rahmen der Notfallplanung Ziele für die Wiederherstellungszeit und den Erholungspunkt fest. Die Konfiguration des alternativen Speicherstandorts umfasst die physischen Einrichtungen und die Systeme, die Wiederherstellungsvorgänge unterstützen und die Zugänglichkeit und korrekte Ausführung sicherstellen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum). | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
CP-06 (02) | Die Organisation konfiguriert den alternativen Speicherstandort so, dass die Wiederherstellungsvorgänge entsprechend den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt erleichtert werden. | Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
CP-07 (01) | Die Organisation identifiziert einen alternativen Verarbeitungsstandort, der ausreichend vom primären Verarbeitungsstandort getrennt ist, um die Anfälligkeit für dieselben Bedrohungen zu verringern. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
CP-07 (04) | Die Organisation bereitet den alternativen Verarbeitungsstandort so vor, dass der Standort als Betriebsstandort für wichtige Aufgaben und Geschäftsfunktionen dienen kann. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
CP-07 (04) | Die Organisation bereitet den alternativen Verarbeitungsstandort so vor, dass der Standort als Betriebsstandort für wichtige Aufgaben und Geschäftsfunktionen dienen kann. | Prüft, ob ein Wiederherstellungspunkt verschlüsselt ist. Die Vorbereitung des Standorts umfasst die Festlegung der Konfigurationseinstellungen für die Systeme am alternativen Verarbeitungsstandort, die den Anforderungen für diese Einstellungen am primären Standort entsprechen, und die Sicherstellung, dass die notwendigen Vorräte und logistischen Überlegungen vorhanden sind. | |
CP-07 (04) | Die Organisation bereitet den alternativen Verarbeitungsstandort so vor, dass der Standort als Betriebsstandort für wichtige Aufgaben und Geschäftsfunktionen dienen kann. | Prüft, ob ein Backup-Tresor über eine zugeordnete ressourcenbasierte Richtlinie verfügt, die das Löschen von Wiederherstellungspunkten verhindert. Zur Vorbereitung des Standorts gehören die Festlegung der Konfigurationseinstellungen für die Systeme am alternativen Verarbeitungsstandort, die den Anforderungen für diese Einstellungen am primären Standort entsprechen, und die Sicherstellung, dass die notwendigen Vorräte und logistischen Überlegungen eingehalten werden. | |
CP-07 (04) | Die Organisation bereitet den alternativen Verarbeitungsstandort so vor, dass der Standort als Betriebsstandort für wichtige Aufgaben und Geschäftsfunktionen dienen kann. | Überprüft, ob Sie die regionsübergreifende S3-Replikation für Ihre Amazon S3 S3-Buckets aktiviert haben. Die Vorbereitung vor Ort umfasst die Einrichtung von Konfigurationseinstellungen für Systeme am alternativen Verarbeitungsstandort, die den Anforderungen für diese Einstellungen am primären Standort entsprechen, und die Sicherstellung, dass die notwendigen Vorräte und logistischen Überlegungen getroffen wurden. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Prüft, ob ein Wiederherstellungspunkt frühestens nach Ablauf des angegebenen Zeitraums abläuft. Der separate Speicher für wichtige Informationen gilt für alle wichtigen Informationen, unabhängig vom Typ des Backup-Speichermediums. Zu kritischer Systemsoftware gehören Betriebssysteme, Middleware, Systeme zur Verwaltung kryptografischer Schlüssel und Systeme zur Erkennung von Eindringlingen. Zu den sicherheitsrelevanten Informationen gehören Inventare von Systemhardware-, Software- und Firmware-Komponenten. Alternative Speicherstandorte, einschließlich geografisch verteilter Architekturen, dienen Organisationen als separate Speichereinrichtungen. Organizations können separaten Speicher bereitstellen, indem sie automatisierte Backup-Prozesse an alternativen Speicherstandorten (z. B. Rechenzentren) implementieren. Die General Services Administration (GSA) legt Standards und Spezifikationen für Sicherheits- und Brandschutzcontainer fest. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre FSx Amazon-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
CP-09 (03) | Die Organisation speichert Sicherungskopien von [Auftrag: vom Unternehmen definierte kritische Systemsoftware und andere sicherheitsrelevante Informationen] in einer separaten Einrichtung oder in einem brandgeschützten Container, der sich nicht zusammen mit dem Betriebssystem befindet. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
CP-09 (05) | Die Organisation überträgt die Systemsicherungsinformationen an den alternativen Speicherort [Zuweisung: organisationsdefinierter Zeitraum und Übertragungsrate, die den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt entsprechen]. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
CP-09 (05) | Die Organisation überträgt die Systemsicherungsinformationen an den alternativen Speicherort [Zuweisung: organisationsdefinierter Zeitraum und Übertragungsrate, die den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt entsprechen]. | Prüft, ob ein Wiederherstellungspunkt frühestens nach Ablauf des angegebenen Zeitraums abläuft. | |
CP-09 (05) | Die Organisation überträgt die Systemsicherungsinformationen an den alternativen Speicherort [Zuweisung: organisationsdefinierter Zeitraum und Übertragungsrate, die den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt entsprechen]. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
CP-09 (05) | Die Organisation überträgt die Systemsicherungsinformationen an den alternativen Speicherort [Zuweisung: organisationsdefinierter Zeitraum und Übertragungsrate, die den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt entsprechen]. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
CP-09 (05) | Die Organisation überträgt die Systemsicherungsinformationen an den alternativen Speicherort [Zuweisung: organisationsdefinierter Zeitraum und Übertragungsrate, die den Zielen für Wiederherstellungszeit und Wiederherstellungspunkt entsprechen]. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
CP-09 (08) | Die Organisation setzt kryptografische Mechanismen ein, um die unbefugte Offenlegung von Backup-Informationen zu verhindern. | Die Auswahl kryptografischer Mechanismen basiert auf der Notwendigkeit, die Vertraulichkeit und Integrität von Backup-Informationen zu schützen. Die Stärke der ausgewählten Mechanismen entspricht der Sicherheitskategorie oder Klassifizierung der Informationen. Der kryptografische Schutz gilt für System-Backup-Informationen, die sowohl an primären als auch an alternativen Speicherorten gespeichert sind. Organizations, die kryptografische Mechanismen zum Schutz von gespeicherten Informationen implementieren, ziehen auch Lösungen zur Verwaltung kryptografischer Schlüssel in Betracht. | |
CP-10 (04) | Die Organisation bietet die Möglichkeit, Systemkomponenten innerhalb von [Zuordnung: vom Unternehmen festgelegte Wiederherstellungszeiträume] anhand konfigurationsgesteuerter und integritätsgeschützter Informationen wiederherzustellen, die einen bekannten Betriebszustand der Komponenten darstellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob ein Recovery Point verschlüsselt ist. | |
CP-10 (04) | Die Organisation bietet die Möglichkeit, Systemkomponenten innerhalb von [Zuordnung: vom Unternehmen festgelegte Wiederherstellungszeiträume] anhand konfigurationsgesteuerter und integritätsgeschützter Informationen wiederherzustellen, die einen bekannten Betriebszustand der Komponenten darstellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob ein Wiederherstellungspunkt nicht früher als nach dem angegebenen Zeitraum abläuft. | |
CP-10 (04) | Die Organisation bietet die Möglichkeit, Systemkomponenten innerhalb von [Zuordnung: vom Unternehmen festgelegte Wiederherstellungszeiträume] anhand konfigurationsgesteuerter und integritätsgeschützter Informationen wiederherzustellen, die einen bekannten Betriebszustand der Komponenten darstellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
CP-10 (04) | Die Organisation bietet die Möglichkeit, Systemkomponenten innerhalb von [Zuordnung: vom Unternehmen festgelegte Wiederherstellungszeiträume] anhand konfigurationsgesteuerter und integritätsgeschützter Informationen wiederherzustellen, die einen bekannten Betriebszustand der Komponenten darstellen. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
CP-10 (04) | Die Organisation bietet die Möglichkeit, Systemkomponenten innerhalb von [Zuordnung: vom Unternehmen festgelegte Wiederherstellungszeiträume] anhand konfigurationsgesteuerter und integritätsgeschützter Informationen wiederherzustellen, die einen bekannten Betriebszustand der Komponenten darstellen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
IA-02 (02) | Implementieren Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf nicht privilegierte Konten. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
IA-02 (02) | Implementieren Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
IA-02 (06) | Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für [Auswahl (eines oder mehrere): lokal; Netzwerk; Remote] Zugriff auf [Auswahl (eines oder mehrere): privilegierte Konten; nicht privilegierte Konten], sodass: (a) Einer der Faktoren durch ein vom System getrenntes Gerät bereitgestellt wird, das Zugriff erhält; und (b) das Gerät erfüllt [Aufgabe: organisationsdefinierte Anforderungen an die Stärke des Mechanismus]. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
IA-02 (06) | Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für [Auswahl (eines oder mehrere): lokal; Netzwerk; Remote] Zugriff auf [Auswahl (eines oder mehrere): privilegierte Konten; nicht privilegierte Konten], sodass: (a) Einer der Faktoren durch ein vom System getrenntes Gerät bereitgestellt wird, das Zugriff erhält; und (b) das Gerät erfüllt [Aufgabe: organisationsdefinierte Anforderungen an die Stärke des Mechanismus]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
IA-02 (08) | Das Informationssystem implementiert replayresistente Authentifizierungsmechanismen für den Zugriff auf [Auswahl (eines oder mehrere): privilegierte Konten; nicht privilegierte Konten]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für IAM-Benutzer vorschreiben. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
IA-05 (08) | Das Informationssystem implementiert [Aufgabe: vom Unternehmen festgelegte Sicherheitskontrollen], um das Risiko von Sicherheitslücken zu minimieren, die sich daraus ergeben, dass Benutzer Konten auf mehreren Systemen haben. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass IAM-Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
IR-04 (04) | Das Unternehmen setzt automatisierte Mechanismen ein, um Informationen über Vorfälle und individuelle Reaktionen auf Vorfälle miteinander zu verknüpfen und so eine unternehmensweite Perspektive bezüglich der Sensibilisierung und Reaktion auf Vorfälle zu erhalten. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
IR-04 (04) | Das Unternehmen setzt automatisierte Mechanismen ein, um Informationen über Vorfälle und individuelle Reaktionen auf Vorfälle miteinander zu verknüpfen und so eine unternehmensweite Perspektive bezüglich der Sensibilisierung und Reaktion auf Vorfälle zu erhalten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
IR-04 (04) | Das Unternehmen setzt automatisierte Mechanismen ein, um Informationen über Vorfälle und individuelle Reaktionen auf Vorfälle miteinander zu verknüpfen und so eine unternehmensweite Perspektive bezüglich der Sensibilisierung und Reaktion auf Vorfälle zu erhalten. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
IR-04 (04) | Das Unternehmen setzt automatisierte Mechanismen ein, um Informationen über Vorfälle und individuelle Reaktionen auf Vorfälle miteinander zu verknüpfen und so eine unternehmensweite Perspektive bezüglich der Sensibilisierung und Reaktion auf Vorfälle zu erhalten. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
IR-04 (04) | Das Unternehmen setzt automatisierte Mechanismen ein, um Informationen über Vorfälle und individuelle Reaktionen auf Vorfälle miteinander zu verknüpfen und so eine unternehmensweite Perspektive bezüglich der Sensibilisierung und Reaktion auf Vorfälle zu erhalten. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
RA-05 | Überwachung und Suche nach Sicherheitslücken, gehostete Anwendungen und wenn neue Sicherheitslücken identifiziert und gemeldet werden, die sich potenziell auf das System auswirken könnten | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
RA-05 | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector V2 Lambda-Standardscan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Softwareschwachstellen zu erkennen. Die Regel lautet NON_COMPLIANT, wenn das Lambda-Standardscannen nicht aktiviert ist. | |
RA-05 | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector EC2 V2-Scan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Sicherheitslücken und Probleme mit der Netzwerkerreichbarkeit auf Ihren Instances zu erkennen. EC2 Die Regel lautet NON_COMPLIANT, wenn EC2 das Scannen nicht aktiviert ist. | |
RA-05 | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector V2 ECR-Scan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Softwareschwachstellen in Ihren Container-Images zu erkennen. Die Regel lautet NON_COMPLIANT, wenn der ECR-Scan nicht aktiviert ist. | |
RA-05 (03) | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector V2 Lambda-Standardscan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Softwareschwachstellen zu erkennen. Die Regel lautet NON_COMPLIANT, wenn das Lambda-Standardscannen nicht aktiviert ist. | |
RA-05 (03) | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector EC2 V2-Scan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Sicherheitslücken und Probleme mit der Netzwerkerreichbarkeit auf Ihren Instances zu erkennen. EC2 Die Regel lautet NON_COMPLIANT, wenn EC2 das Scannen nicht aktiviert ist. | |
RA-05 (03) | Definieren Sie den Umfang und die Tiefe des Schutzes der Schwachstellen-Scans. | Überprüft, ob der Amazon Inspector V2 ECR-Scan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Softwareschwachstellen in Ihren Container-Images zu erkennen. Die Regel lautet NON_COMPLIANT, wenn der ECR-Scan nicht aktiviert ist. | |
RA-05 (05) | Implementieren Sie eine privilegierte Zugriffsberechtigung für [Zuweisung: organisationsdefinierte Systemkomponenten] zum Scannen der Organisation. (Spezifiziert alle Komponenten, die die Authentifizierung und alle Scans unterstützen) | Überprüft, ob der Amazon Inspector EC2 V2-Scan für Ihre Umgebung mit einem oder mehreren Konten aktiviert ist, um potenzielle Sicherheitslücken und Probleme mit der Netzwerkerreichbarkeit auf Ihren Instances zu erkennen. EC2 Die Regel lautet NON_COMPLIANT, wenn EC2 das Scannen nicht aktiviert ist. | |
SA-10 | Die Organisation verlangt vom Entwickler des Systems, der Systemkomponente oder des Systemdienstes: a. Durchführung des Konfigurationsmanagements während des Systems, der Komponente oder des Dienstes [Auswahl (eine oder mehrere): Entwurf; Entwicklung; Implementierung; Betrieb; Entsorgung]; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Dokumentieren Sie genehmigte Änderungen am System, an der Komponente oder am Dienst sowie die potenziellen Auswirkungen solcher Änderungen auf Sicherheit und Datenschutz; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal]. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
SC-07 (12) | Die Organisation implementiert [Aufgabe: organisationsdefinierte hostbasierte Grenzschutzmechanismen] unter [Aufgabe: organisationsdefinierte Systemkomponenten]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
SC-07 (20) | Bieten Sie die Möglichkeit, [Zuweisung: organisationsdefinierte Systemkomponenten] dynamisch von anderen Systemkomponenten zu isolieren. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
SC-07 (21) | Setzen Sie Grenzschutzmechanismen ein, um [Aufgabe: organisationsdefinierte Systemkomponenten] zu isolieren, die [Zuordnung: organisationsdefinierte Aufgaben und/oder Geschäftsfunktionen] unterstützen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
SC-07 (21) | Setzen Sie Grenzschutzmechanismen ein, um [Aufgabe: organisationsdefinierte Systemkomponenten] zu isolieren, die [Zuordnung: organisationsdefinierte Aufgaben und/oder Geschäftsfunktionen] unterstützen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
SC-12 (01) | Einrichtung und Verwaltung kryptografischer Schlüssel bei Verwendung von Kryptografie innerhalb des Systems gemäß den folgenden Schlüsselverwaltungsanforderungen: [Aufgabe: vom Unternehmen definierte Anforderungen für Schlüsselgenerierung, -verteilung, -speicherung, -zugriff und -vernichtung]. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen der Management Console bei der Nichtabstreitbarkeit helfen. AWS Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Spuren aktiviert ist. AWS CloudTrail | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
SC-28 (01) | Die Organisation implementiert kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung der folgenden Informationen zu verhindern, die sich auf [Zuordnung: organisationsdefinierte Systemkomponenten oder Medien] befinden: [Zuweisung: organisationsdefinierte Informationen]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen. | |
SI-04 (12) | Warnung [Zuordnung: organisationsdefiniertes Personal oder Rollen] mithilfe von [Zuordnung: organisationsdefinierte automatisierte Mechanismen], wenn die folgenden Hinweise auf unangemessene oder ungewöhnliche Aktivitäten mit Auswirkungen auf die Sicherheit oder den Datenschutz auftreten: [Zuordnung: organisationsdefinierte Aktivitäten, die Warnmeldungen auslösen]. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
SI-04 (20) | Implementieren Sie die folgende zusätzliche Überwachung für privilegierte Benutzer: [Zuweisung: vom Unternehmen definierte zusätzliche Überwachung]. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
SI-04 (22) | (a) Erkennt Netzwerkdienste, die nicht durch [Zuweisung: organisationsdefinierte Autorisierungs- oder Genehmigungsverfahren] autorisiert oder genehmigt wurden; und (b) [Auswahl (einer oder mehrere): Audit; Warnung [Zuordnung: organisationsdefiniertes Personal oder Rollen]], wenn sie erkannt werden. | (A) AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
SI-04 (22) | (a) Erkennt Netzwerkdienste, die nicht durch [Zuweisung: organisationsdefinierte Autorisierungs- oder Genehmigungsverfahren] autorisiert oder genehmigt wurden; und (b) [Auswahl (einer oder mehrere): Audit; Warnung [Zuordnung: organisationsdefiniertes Personal oder Rollen]], wenn sie erkannt werden. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
SI-04 (22) | (a) Erkennt Netzwerkdienste, die nicht durch [Zuweisung: organisationsdefinierte Autorisierungs- oder Genehmigungsverfahren] autorisiert oder genehmigt wurden; und (b) [Auswahl (einer oder mehrere): Audit; Warnung [Zuordnung: organisationsdefiniertes Personal oder Rollen]], wenn sie erkannt werden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
SI-05 (01) | Verbreiten Sie Sicherheitswarnungen und Warnhinweise im gesamten Unternehmen mithilfe von [Aufgabe: organisationsdefinierte automatisierte Mechanismen]. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
SI-05 (01) | Verbreiten Sie Sicherheitswarnungen und Warnhinweise im gesamten Unternehmen mithilfe von [Aufgabe: organisationsdefinierte automatisierte Mechanismen]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
SI-07 (02) | Setzen Sie automatisierte Tools ein, die [Zuordnung: vom Unternehmen festgelegte Mitarbeiter oder Rollen] benachrichtigen, wenn bei der Integritätsprüfung Unstimmigkeiten festgestellt werden. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
SI-07 (02) | Setzen Sie automatisierte Tools ein, die [Zuordnung: vom Unternehmen festgelegte Mitarbeiter oder Rollen] benachrichtigen, wenn bei der Integritätsprüfung Unstimmigkeiten festgestellt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
SI-07 (05) | Automatisch [Auswahl (eine oder mehrere): System herunterfahren; System neu starten; [Zuweisung: organisationsdefinierte Kontrollen]] implementieren, wenn Integritätsverletzungen entdeckt werden. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
SI-07 (05) | Automatisch [Auswahl (eine oder mehrere): System herunterfahren; System neu starten; [Zuweisung: organisationsdefinierte Kontrollen]] implementieren, wenn Integritätsverletzungen entdeckt werden. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält. | |
SI-07 (15) | Implementieren Sie kryptografische Mechanismen, um die folgenden Software- oder Firmware-Komponenten vor der Installation zu authentifizieren: [Aufgabe: organisationsdefinierte Software- oder Firmware-Komponenten]. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
SI-07 (15) | Implementieren Sie kryptografische Mechanismen, um die folgenden Software- oder Firmware-Komponenten vor der Installation zu authentifizieren: [Aufgabe: organisationsdefinierte Software- oder Firmware-Komponenten]. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for FedRAMP (High Part 2