Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Ausführung von FedRAMP(Moderate)
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Federal Risk and Authorization Management Program (FedRAMP) und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf ein oder mehrere FedRAMP-Steuerelemente. Eine FedRAMP-Kontrolle kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Dieses Konformitätspaket wurde von AWS Security Assurance Services LLC (AWS SAS) validiert. Dabei handelt es sich um ein Team von qualifizierten Sicherheitsgutachtern (QSAs), HITRUST-zertifizierten Common Security Framework Practitioners (CCSFPs) und Compliance-Experten, die für die Bereitstellung von Leitlinien und Bewertungen für verschiedene Branchen-Frameworks zertifiziert sind. AWS Die Experten von SAS haben dieses Conformance Pack so konzipiert, dass ein Kunde sich an einer Teilmenge der FedRAMP-Kontrollen orientieren kann.
| Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen zu |
|---|---|---|---|
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| AC-2(1) | Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| AC-2(3) | Das Informationssystem deaktiviert automatisch inaktive Konten von Benutzern nach 90 Tagen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(3) | Das Informationssystem deaktiviert automatisch inaktive Konten von Benutzern nach 90 Tagen. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(4) | Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen]. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(7) | Die Organisation: (a) richtet privilegierte Benutzer ein und verwaltet sie gemäß einem rollenbasierten Zugriffsschema, das den autorisierten Zugriff auf das Informationssystem und die Berechtigungen in Rollen organisiert; (b) überwacht privilegierte Rollenzuweisungen; und (c) ergreift [Zuweisung: von der Organisation festgelegte Aktionen], wenn privilegierte Rollenzuweisungen nicht mehr angemessen sind. Zusätzliche Empfehlungen: Privilegierte Rollen sind von der Organisation definierte Rollen, die Einzelpersonen zugewiesen werden, damit sie bestimmte sicherheitsrelevante Funktionen ausführen können, zu denen normale Benutzer nicht berechtigt sind. Zu diesen privilegierten Rollen gehört zum Beispiel die Verwaltung von Schlüsseln, Konten, Netzwerken und Systemen, Datenbanken und Websites. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(12)(a) | Die Organisation: a. Überwacht die Konten des Informationssystems im Hinblick auf [Zuordnung: von der Organisation definierte untypische Nutzung]. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC-2(12)(a) | Die Organisation: a. Überwacht die Konten des Informationssystems im Hinblick auf [Zuordnung: von der Organisation definierte untypische Nutzung]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| AC-2(f) | Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(g) | Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-2(j) | Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit]. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC-3 | Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC-4 | Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-5c | Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-6(10) | Das Informationssystem verhindert, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, einschließlich der Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorkehrungen/Gegenmaßnahmen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-6(10) | Das Informationssystem verhindert, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, einschließlich der Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorkehrungen/Gegenmaßnahmen. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-6(10) | Das Informationssystem verhindert, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, einschließlich der Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorkehrungen/Gegenmaßnahmen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. AWS DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC-6 | Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC-17(1) | Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| AC-17(2) | Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| AC-17(2) | Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| AC-17(2) | Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| AC-17(2) | Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| AC-17(2) | Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| AC-21(b) | Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AU-2(a)(d) | Die Organisation: a. Legt fest, dass das Informationssystem folgenden Ereignisse überprüfen kann: Erfolgreiche und erfolglose Kontoanmeldungen, Kontoverwaltungsereignisse, Objektzugriffe, Richtlinienänderungen, Berechtigungsfunktionen, Prozessnachverfolgung und Systemereignisse. Für Webanwendungen: sämtliche Administratoraktivitäten, Authentifizierungsprüfungen, Autorisierungsprüfungen, Datenlöschungen, Datenzugriffe, Datenänderungen und Berechtigungsänderungen. d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden müssen: [von der Organisation definierte Teilmenge der in AU-2(a) definierten prüffähigen Ereignisse wird kontinuierlich für jedes identifizierte Ereignis geprüft]. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen zu der Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AU-3 | Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen zu der Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AU-6(1)(3) | (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| AU-7(1) | Das Informationssystem bietet die Möglichkeit, Prüfungsunterlagen für Ereignisse von Interesse auf der Grundlage von [Zuweisung: von der Organisation definierte Prüfungsfelder in den Prüfungsunterlagen] zu verarbeiten. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AU-7(1) | Das Informationssystem bietet die Möglichkeit, Prüfungsunterlagen für Ereignisse von Interesse auf der Grundlage von [Zuweisung: von der Organisation definierte Prüfungsfelder in den Prüfungsunterlagen] zu verarbeiten. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| AU-9(2) | Das Informationssystem sichert die Prüfungsunterlagen mindestens wöchentlich auf einem anderen System bzw. einer anderen Systemkomponente als dem System/der Komponente, das/die Gegenstand der Prüfung ist. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| AU-9(2) | Das Informationssystem sichert die Prüfungsunterlagen mindestens wöchentlich auf einem anderen System bzw. einer anderen Systemkomponente als dem System/der Komponente, das/die Gegenstand der Prüfung ist. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| AU-9 | Das Informationssystem schützt Prüfungsinformationen und -tools vor unbefugtem Zugriff, Änderung und Löschung. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| AU-9 | Das Informationssystem schützt Prüfungsinformationen und -tools vor unbefugtem Zugriff, Änderung und Löschung. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| AU-9 | Das Informationssystem schützt Prüfungsinformationen und -tools vor unbefugtem Zugriff, Änderung und Löschung. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| AU-11 | Die Organisation bewahrt die Prüfaufzeichnungen mindestens 90 Tage lang auf, um die after-the-fact Untersuchung von Sicherheitsvorfällen zu unterstützen und die behördlichen und organisatorischen Anforderungen zur Aufbewahrung von Informationen zu erfüllen. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen zu der Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| AU-12(a)(c) | Das Informationssystem: a. Ermöglicht die Generierung von Prüfungsunterlagen für die in AU-2 a. definierten prüffähigen Ereignisse für alle Informationssystem- und Netzwerkkomponenten, bei denen Prüfungsfunktionen bereitgestellt/verfügbar sind c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon-RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Aktivieren Sie diese Regel, um die Überwachung der Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| CA-7(a)(b) | Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Aktivieren Sie diese Regel, um die Basiskonfiguration von Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances zu unterstützen, indem Sie überprüfen, ob Amazon-EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| CM-2 | Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| CM-7(a) | Die Organisation: a. Konfiguriert das Informationssystem auf eine Weise, dass nur wesentliche Funktionen bereitgestellt werden. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| CM-7(a) | Die Organisation: a. Konfiguriert das Informationssystem auf eine Weise, dass nur wesentliche Funktionen bereitgestellt werden. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM-7(a) | Die Organisation: a. Konfiguriert das Informationssystem auf eine Weise, dass nur wesentliche Funktionen bereitgestellt werden. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM-8(1) | Die Organisation aktualisiert das Inventar der Informationssystemkomponenten als integralen Bestandteil der Installation und Demontage von Komponenten sowie der Aktualisierung von Informationssystemen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM-8(1) | Die Organisation aktualisiert das Inventar der Informationssystemkomponenten als integralen Bestandteil der Installation und Demontage von Komponenten sowie der Aktualisierung von Informationssystemen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM-8(3)(a) | Die Organisation: a. Setzt kontinuierlich automatisierte Mechanismen ein und verwendet automatisierte Mechanismen mit einer Erkennungsverzögerung von maximal fünf Minuten, um nicht autorisierte Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| CM-8(3)(a) | Die Organisation: a. Setzt kontinuierlich automatisierte Mechanismen ein und verwendet automatisierte Mechanismen mit einer Erkennungsverzögerung von maximal fünf Minuten, um nicht autorisierte Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| CM-8(3)(a) | Die Organisation: a. Setzt kontinuierlich automatisierte Mechanismen ein und verwendet automatisierte Mechanismen mit einer Erkennungsverzögerung von maximal fünf Minuten, um nicht autorisierte Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| CM-8(3)(a) | Die Organisation: a. Setzt kontinuierlich automatisierte Mechanismen ein und verwendet automatisierte Mechanismen mit einer Erkennungsverzögerung von maximal fünf Minuten, um nicht autorisierte Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon FSx-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| CP-9(b) | Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch (inkrementelles Backup täglich; vollständiges Backup wöchentlich). | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon FSx-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| CP-10 | Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| IA-2(1)(2) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| IA-2(1)(2) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| IA-2(1)(2) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| IA-2(1)(2) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| IA-2(1) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| IA-2(1) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| IA-2(1) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| IA-2(1) | (1) Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| IA-2 | Das Informationssystem nimmt eine eindeutige Identifizierung und Authentifizierung der Benutzer (oder Prozesse, die im Namen von Benutzern der Organisation handeln) vor. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| IA-2 | Das Informationssystem nimmt eine eindeutige Identifizierung und Authentifizierung der Benutzer (oder Prozesse, die im Namen von Benutzern der Organisation handeln) vor. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| IA-5(1)(a)(d)(e) | Das Informationssystem ergreift für die passwortgestützte Authentifizierung folgende Maßnahmen: a. Es erzwingt eine Mindestkomplexität von [Zuweisung: vom Unternehmen festgelegte Anforderungen an Groß- und Kleinschreibung, Zeichenanzahl, Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, einschließlich Mindestanforderungen für jeden Typ]; d. Es erzwingt die minimale und maximale Gültigkeitsdauer von Passwörtern von [Zuweisung: von der Organisation festgelegte Frist für die minimale und maximale Gültigkeitsdauer]; e. Verbietet die Wiederverwendung von Passwörtern für die nächsten 24 Generationen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| IA-5(4) | Die Organisation verwendet automatisierte Tools, um festzustellen, ob Passwortauthentifikatoren stark genug sind, um [Zuweisung: von der Organisation definierte Anforderungen] zu erfüllen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| IA-5(7) | Die Organisation stellt sicher, dass unverschlüsselte statische Authentifikatoren nicht in Anwendungen oder Zugriffsskripts eingebettet oder in Funktionsschlüsseln gespeichert werden. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| IR-4(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| IR-4(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| IR-4(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| IR-4(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| IR-4(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| IR-6(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Meldung von Sicherheitsvorfällen zu unterstützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| IR-6(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Meldung von Sicherheitsvorfällen zu unterstützen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| IR-6(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Meldung von Sicherheitsvorfällen zu unterstützen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| IR-7(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Verfügbarkeit von Informationen und Unterstützung im Zusammenhang mit der Reaktion auf Vorfälle zu erhöhen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| IR-7(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Verfügbarkeit von Informationen und Unterstützung im Zusammenhang mit der Reaktion auf Vorfälle zu erhöhen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| IR-7(1) | Die Organisation setzt automatisierte Mechanismen ein, um die Verfügbarkeit von Informationen und Unterstützung im Zusammenhang mit der Reaktion auf Vorfälle zu erhöhen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| RA-5(1) | Das Unternehmen setzt Tools zum Scannen von Schwachstellen ein, mit denen die zu scannenden Schwachstellen im Informationssystem problemlos aktualisiert werden können. Zusätzliche Empfehlungen: Die zu scannenden Schwachstellen müssen umgehend aktualisiert werden, sobald neue Schwachstellen entdeckt, angekündigt und Scanmethoden entwickelt werden. Dieser Aktualisierungsprozess trägt dazu bei, dass potenzielle Schwachstellen im Informationssystem so schnell wie möglich identifiziert und behoben werden. Verwandte Kontrollen: SI-3, SI-7. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| RA-5(1) | Das Unternehmen setzt Tools zum Scannen von Schwachstellen ein, mit denen die zu scannenden Schwachstellen im Informationssystem problemlos aktualisiert werden können. Zusätzliche Empfehlungen: Die zu scannenden Schwachstellen müssen umgehend aktualisiert werden, sobald neue Schwachstellen entdeckt, angekündigt und Scanmethoden entwickelt werden. Dieser Aktualisierungsprozess trägt dazu bei, dass potenzielle Schwachstellen im Informationssystem so schnell wie möglich identifiziert und behoben werden. Verwandte Kontrollen: SI-3, SI-7. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| RA-5(1) | Das Unternehmen setzt Tools zum Scannen von Schwachstellen ein, mit denen die zu scannenden Schwachstellen im Informationssystem problemlos aktualisiert werden können. Zusätzliche Empfehlungen: Die zu scannenden Schwachstellen müssen umgehend aktualisiert werden, sobald neue Schwachstellen entdeckt, angekündigt und Scanmethoden entwickelt werden. Dieser Aktualisierungsprozess trägt dazu bei, dass potenzielle Schwachstellen im Informationssystem so schnell wie möglich identifiziert und behoben werden. Verwandte Kontrollen: SI-3, SI-7. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| RA-5 | Die Organisation: a. Scannt das Informationssystem und gehostete Anwendungen [Betriebssystem/Infrastruktur; monatliche Webanwendungen und Datenbanken] jeden Monat und bei der Identifizierung und Meldung neuer Schwachstellen, die sich möglicherweise auf das System/die Anwendungen auswirken könnten; b. Wendet Tools und Techniken zum Scannen von Schwachstellen an, die die Interoperabilität zwischen den Tools erleichtern und Teile des Schwachstellenmanagements automatisieren, indem für folgende Aktivitäten Standards angewendet werden: 1. Aufzählung von Plattformen, Softwarefehlern und ungeeigneten Konfigurationen; 2. Formatierung von Checklisten und Testverfahren; und 3. Messung der Auswirkungen von Schwachstellen; c. Analysiert Scanberichte über Schwachstellen und Ergebnisse von Sicherheitskontrollbewertungen; d. Behebt legitime Schwachstellen: Schwachstellen mit hohem Risiko, die innerhalb von dreißig (30) Tagen ab ihrer Feststellung behoben werden; Schwachstellen mit mäßigem Risiko, die innerhalb von neunzig (90) Tagen ab ihrer Feststellung behoben werden; Sicherheitslücken mit geringem Risiko, die innerhalb von einhundertachtzig (180) Tagen ab ihrer Feststellung behoben werden, gemäß einer Risikobewertung der Organisation; und e. Leitet die Informationen aus dem Schwachstellenscan und den Sicherheitskontrollbewertungen an [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] weiter, um ähnliche Schwachstellen in anderen Informationssystemen (d. h. Systemschwächen oder -mängel) zu beseitigen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| RA-5 | Die Organisation: a. Scannt das Informationssystem und gehostete Anwendungen [Zuweisung: von der Organisation festgelegte Häufigkeit und/oder zufällig gemäß einem von der Organisation definierten Prozess] und bei der Identifizierung und Meldung neuer Schwachstellen, die sich möglicherweise auf das System/die Anwendungen auswirken könnten; b. Wendet Tools und Techniken zum Scannen von Schwachstellen an, die die Interoperabilität zwischen den Tools erleichtern und Teile des Schwachstellenmanagements automatisieren, indem für folgende Aktivitäten Standards angewendet werden: 1. Aufzählung von Plattformen, Softwarefehlern und ungeeigneten Konfigurationen; 2. Formatierung von Checklisten und Testverfahren; und 3. Messung der Auswirkungen von Schwachstellen; c. Analysiert Scanberichte über Schwachstellen und Ergebnisse von Sicherheitskontrollbewertungen; d. Behebt legitime Schwachstellen [Zuweisung: von der Organisation festgelegte Reaktionszeiten] gemäß einer Risikobewertung der Organisation; und e. Leitet die Informationen aus dem Schwachstellenscan und den Sicherheitskontrollbewertungen an [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] weiter, um ähnliche Schwachstellen in anderen Informationssystemen (d. h. Systemschwächen oder -mängel) zu beseitigen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SA-3(a) | Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| SA-3(a) | Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| SA-3(a) | Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| SA-10 | Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Die Durchführung des Konfigurationsmanagements während der Entwicklung, Implementierung und des Betriebs von Systemen, Komponenten oder Services; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal]. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| SA-10 | Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Die Durchführung des Konfigurationsmanagements während der Entwicklung, Implementierung und des Betriebs von Systemen, Komponenten oder Services; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal]. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SA-10 | Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Die Durchführung des Konfigurationsmanagements während der Entwicklung, Implementierung und des Betriebs von Systemen, Komponenten oder Services; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal]. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| SA-10 | Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Die Durchführung des Konfigurationsmanagements während der Entwicklung, Implementierung und des Betriebs von Systemen, Komponenten oder Services; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SC-2 | Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| SC-2 | Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| SC-2 | Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| SC-2 | Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| SC-2 | Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| SC-4 | Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen. | Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| SC-5 | Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen]. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC-7(3) | Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| SC-7(4) | Die Organisation: (a) implementiert eine verwaltete Schnittstelle für jeden externen Telekommunikationsservice; (b) legt eine Richtlinie für den Datenverkehrsfluss für jede verwaltete Schnittstelle fest; (c) schützt die Vertraulichkeit und Integrität der über die einzelnen Schnittstellen übertragenen Informationen; (d) dokumentiert jede Ausnahme von der Richtlinie für den Datenverkehrsfluss mit einer unterstützenden Geschäftsmission/-anforderung und Dauer dieser Anforderung; und (e) überprüft Ausnahmen von der Richtlinie für den Datenverkehrsfluss [Zuweisung: von der Organisation definierte Häufigkeit] und entfernt Ausnahmen, die nicht mehr durch eine ausdrückliche Geschäftsmission/-anforderung unterstützt werden. Zusätzliche Empfehlungen: Verwandte Kontrolle: SC-8. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-7(5) | Das Informationssystem lehnt Netzwerkverkehr an verwalteten Schnittstellen standardmäßig ab und lässt Netzwerkverkehr ausnahmsweise zu (d. h. alles verweigern, ausnahmsweise zulassen). Zusätzliche Empfehlungen: Diese Verbesserung der Kontrolle wirkt sich auf eingehenden und ausgehenden Netzwerkverkehr aus. Eine Richtlinie, die den gesamten Datenverkehr für die permit-by-exception Netzwerkkommunikation ablehnt, stellt sicher, dass nur Verbindungen zugelassen werden, die unbedingt erforderlich und genehmigt sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen zu der Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| SC-7 | Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8(1) | Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-8 | Das Informationssystem schützt die Vertraulichkeit UND Integrität der übermittelten Informationen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-12 | Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln]. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben. | |
| SC-12 | Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln]. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| SC-12 | Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln]. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-13 | Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-23 | Das Informationssystem schützt die Authentizität der Kommunikationssitzungen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
| SC-28 | Das Informationssystem schützt die Vertraulichkeit UND Integrität von [Zuweisung: von der Organisation definierte Informationen im Ruhestand]. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| SI-2(2) | Die Organisation setzt automatisierte Mechanismen mindestens einmal im Monat ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| SI-2(2) | Die Organisation setzt automatisierte Mechanismen mindestens einmal im Monat ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| SI-2(2) | Die Organisation setzt automatisierte Mechanismen mindestens einmal im Monat ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| SI-2(2) | Die Organisation setzt automatisierte Mechanismen mindestens einmal im Monat ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| SI-3 | Die Organisation: a. Setzt Mechanismen zum Schutz vor schädlichem Code an Ein- und Austrittspunkten von Informationssystemen ein, um schädlichen Code zu erkennen und zu beseitigen; b. Aktualisiert die Schutzmechanismen gegen schädlichen Code, sobald neue Versionen verfügbar sind, gemäß den Richtlinien und Verfahren der Organisation für das Konfigurationsmanagement; c. Konfiguriert Schutzmechanismen gegen schädlichen Code zu folgenden Zwecken: 1. Durchführen regelmäßiger Scans des Informationssystems [Zuweisung: von der Organisation festgelegte Häufigkeit] und Echtzeitscans von Dateien aus externen Quellen an [Auswahl (eine oder mehrere Optionen), Endpunkte, Netzwerkeintritts- und -ausgangspunkte], während die Dateien gemäß den Sicherheitsrichtlinien der Organisation heruntergeladen, geöffnet oder ausgeführt werden; und 2. [Auswahl (eine oder mehrere Optionen): Blockieren von schädlichem Code; Isolieren von schädlichem Code; Übermitteln von Warnmeldungen an den Administrator; [Zuweisung: von der Organisation definierte Aktion]] als Reaktion auf die Erkennung von schädlichem Code; und d. Bearbeiten eingehender Fehlalarme während der Erkennung und Beseitigung von schädlichem Code und der daraus resultierenden potenziellen Auswirkungen auf die Verfügbarkeit des Informationssystems. Zusätzliche Empfehlungen: Zu den Eingangs- und Ausgangspunkten für Informationssysteme gehören beispielsweise Firewalls, E-Mail-Server, Webserver, Proxyserver, Remote-Zugriffsserver, Workstations, Notebooks und Mobilgeräte. Zu schädlichem Code gehören beispielsweise Viren, Würmer, Trojaner und Spyware. Bösartiger Code kann auch in verschiedenen Formaten kodiert sein (z. B. UUENCODE, Unicode), in komprimierten oder versteckten Dateien enthalten oder mithilfe von Steganographie in Dateien versteckt werden. Schädlicher Code kann auf unterschiedliche Weise übertragen werden, beispielsweise durch Internetzugriffe, E-Mail, E-Mail-Anhänge und mobile Datenträger. Schädlicher Code wird durch die Ausnutzung von Schwachstellen in Informationssystemen verbreitet. Zu den Mechanismen zum Schutz vor schädlichem Code zählen unter anderem Antiviren-Signatur-Definitionen und reputationsbasierte Technologien. Die Auswirkungen von schädlichem Code können mithilfe einer Vielzahl von Technologien und Methoden begrenzt oder beseitigt werden. Ein umfassendes Konfigurationsmanagement und weitreichende Softwareintegritätskontrollen können die Ausführung von nicht autorisiertem Code wirksam verhindern. Neben kommerzieller off-the-shelf Software kann bösartiger Code auch in maßgeschneiderter Software enthalten sein. Dazu zählen beispielsweise logische Bomben, Backdoors und andere Arten von Cyberangriffen, die sich auf Geschäftsmissionen/-funktionen auswirken könnten. Herkömmliche Schutzmechanismen können schädlichen Code nicht immer erkennen. In solchen Situationen greifen Organisationen auf andere Schutzmaßnahmen zurück, z. B. sichere Codierungsmethoden, Konfigurationsmanagement und -kontrolle, vertrauenswürdige Beschaffungsprozesse und Überwachungspraktiken, damit Software nur die vorgesehenen Funktionen erfüllt. Organisationen können festlegen, dass als Reaktion auf die Erkennung von schädlichem Code unterschiedliche Maßnahmen gerechtfertigt sein können. Beispielsweise können Organisationen Aktionen als Reaktion auf erkannten schädlichen Code bei regelmäßigen Scans, Aktionen als Reaktion auf die Erkennung schädlicher Downloads und/oder Aktionen als Reaktion auf die Erkennung von schädlichem Code bei der versuchten Öffnung oder Ausführung von Dateien definieren. Verwandte Kontrollen: CM-3, MP-2, SA-4, SA-8, SA-12, SA-13, SC-7, SC-26, SC-44, SI-2, SI-4, SI-7. Referenzen: NIST Sonderveröffentlichung 800-83. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| SI-3 | Die Organisation: a. Setzt Mechanismen zum Schutz vor schädlichem Code an Ein- und Austrittspunkten von Informationssystemen ein, um schädlichen Code zu erkennen und zu beseitigen; b. Aktualisiert die Schutzmechanismen gegen schädlichen Code, sobald neue Versionen verfügbar sind, gemäß den Richtlinien und Verfahren der Organisation für das Konfigurationsmanagement; c. Konfiguriert Schutzmechanismen gegen schädlichen Code zu folgenden Zwecken: 1. Durchführen regelmäßiger Scans des Informationssystems [Zuweisung: von der Organisation festgelegte Häufigkeit] und Echtzeitscans von Dateien aus externen Quellen an [Auswahl (eine oder mehrere Optionen), Endpunkte, Netzwerkeintritts- und -ausgangspunkte], während die Dateien gemäß den Sicherheitsrichtlinien der Organisation heruntergeladen, geöffnet oder ausgeführt werden; und 2. [Auswahl (eine oder mehrere Optionen): Blockieren von schädlichem Code; Isolieren von schädlichem Code; Übermitteln von Warnmeldungen an den Administrator; [Zuweisung: von der Organisation definierte Aktion]] als Reaktion auf die Erkennung von schädlichem Code; und d. Bearbeiten eingehender Fehlalarme während der Erkennung und Beseitigung von schädlichem Code und der daraus resultierenden potenziellen Auswirkungen auf die Verfügbarkeit des Informationssystems. Zusätzliche Empfehlungen: Zu den Eingangs- und Ausgangspunkten für Informationssysteme gehören beispielsweise Firewalls, E-Mail-Server, Webserver, Proxyserver, Remote-Zugriffsserver, Workstations, Notebooks und Mobilgeräte. Zu schädlichem Code gehören beispielsweise Viren, Würmer, Trojaner und Spyware. Bösartiger Code kann auch in verschiedenen Formaten codiert sein (z. B. UUENCODE, Unicode), in komprimierten oder versteckten Dateien enthalten oder mithilfe von Steganographie in Dateien versteckt werden. Schädlicher Code kann auf unterschiedliche Weise übertragen werden, beispielsweise durch Internetzugriffe, E-Mail, E-Mail-Anhänge und mobile Datenträger. Schädlicher Code wird durch die Ausnutzung von Schwachstellen in Informationssystemen verbreitet. Zu den Mechanismen zum Schutz vor schädlichem Code zählen unter anderem Antiviren-Signatur-Definitionen und reputationsbasierte Technologien. Die Auswirkungen von schädlichem Code können mithilfe einer Vielzahl von Technologien und Methoden begrenzt oder beseitigt werden. Ein umfassendes Konfigurationsmanagement und weitreichende Softwareintegritätskontrollen können die Ausführung von nicht autorisiertem Code wirksam verhindern. Neben kommerzieller off-the-shelf Software kann bösartiger Code auch in maßgeschneiderter Software enthalten sein. Dazu zählen beispielsweise logische Bomben, Backdoors und andere Arten von Cyberangriffen, die sich auf Geschäftsmissionen/-funktionen auswirken könnten. Herkömmliche Schutzmechanismen können schädlichen Code nicht immer erkennen. In solchen Situationen greifen Organisationen auf andere Schutzmaßnahmen zurück, z. B. sichere Codierungsmethoden, Konfigurationsmanagement und -kontrolle, vertrauenswürdige Beschaffungsprozesse und Überwachungspraktiken, damit Software nur die vorgesehenen Funktionen erfüllt. Organisationen können festlegen, dass als Reaktion auf die Erkennung von schädlichem Code unterschiedliche Maßnahmen gerechtfertigt sein können. Beispielsweise können Organisationen Aktionen als Reaktion auf erkannten schädlichen Code bei regelmäßigen Scans, Aktionen als Reaktion auf die Erkennung schädlicher Downloads und/oder Aktionen als Reaktion auf die Erkennung von schädlichem Code bei der versuchten Öffnung oder Ausführung von Dateien definieren. Verwandte Kontrollen: CM-3, MP-2, SA-4, SA-8, SA-12, SA-13, SC-7, SC-26, SC-44, SI-2, SI-4, SI-7. Referenzen: NIST Sonderveröffentlichung 800-83. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| SI-3 | Die Organisation: a. Setzt Mechanismen zum Schutz vor schädlichem Code an Ein- und Austrittspunkten von Informationssystemen ein, um schädlichen Code zu erkennen und zu beseitigen; b. Aktualisiert die Schutzmechanismen gegen schädlichen Code, sobald neue Versionen verfügbar sind, gemäß den Richtlinien und Verfahren der Organisation für das Konfigurationsmanagement; c. Konfiguriert Schutzmechanismen gegen schädlichen Code zu folgenden Zwecken: 1. Durchführen regelmäßiger Scans des Informationssystems [Zuweisung: von der Organisation festgelegte Häufigkeit] und Echtzeitscans von Dateien aus externen Quellen an [Auswahl (eine oder mehrere Optionen), Endpunkte, Netzwerkeintritts- und -ausgangspunkte], während die Dateien gemäß den Sicherheitsrichtlinien der Organisation heruntergeladen, geöffnet oder ausgeführt werden; und 2. [Auswahl (eine oder mehrere Optionen): Blockieren von schädlichem Code; Isolieren von schädlichem Code; Übermitteln von Warnmeldungen an den Administrator; [Zuweisung: von der Organisation definierte Aktion]] als Reaktion auf die Erkennung von schädlichem Code; und d. Bearbeiten eingehender Fehlalarme während der Erkennung und Beseitigung von schädlichem Code und der daraus resultierenden potenziellen Auswirkungen auf die Verfügbarkeit des Informationssystems. Zusätzliche Empfehlungen: Zu den Eingangs- und Ausgangspunkten für Informationssysteme gehören beispielsweise Firewalls, E-Mail-Server, Webserver, Proxyserver, Remote-Zugriffsserver, Workstations, Notebooks und Mobilgeräte. Zu schädlichem Code gehören beispielsweise Viren, Würmer, Trojaner und Spyware. Bösartiger Code kann auch in verschiedenen Formaten kodiert sein (z. B. UUENCODE, Unicode), in komprimierten oder versteckten Dateien enthalten oder mithilfe von Steganographie in Dateien versteckt werden. Schädlicher Code kann auf unterschiedliche Weise übertragen werden, beispielsweise durch Internetzugriffe, E-Mail, E-Mail-Anhänge und mobile Datenträger. Schädlicher Code wird durch die Ausnutzung von Schwachstellen in Informationssystemen verbreitet. Zu den Mechanismen zum Schutz vor schädlichem Code zählen unter anderem Antiviren-Signatur-Definitionen und reputationsbasierte Technologien. Die Auswirkungen von schädlichem Code können mithilfe einer Vielzahl von Technologien und Methoden begrenzt oder beseitigt werden. Ein umfassendes Konfigurationsmanagement und weitreichende Softwareintegritätskontrollen können die Ausführung von nicht autorisiertem Code wirksam verhindern. Neben kommerzieller off-the-shelf Software kann bösartiger Code auch in maßgeschneiderter Software enthalten sein. Dazu zählen beispielsweise logische Bomben, Backdoors und andere Arten von Cyberangriffen, die sich auf Geschäftsmissionen/-funktionen auswirken könnten. Herkömmliche Schutzmechanismen können schädlichen Code nicht immer erkennen. In solchen Situationen greifen Organisationen auf andere Schutzmaßnahmen zurück, z. B. sichere Codierungsmethoden, Konfigurationsmanagement und -kontrolle, vertrauenswürdige Beschaffungsprozesse und Überwachungspraktiken, damit Software nur die vorgesehenen Funktionen erfüllt. Organisationen können festlegen, dass als Reaktion auf die Erkennung von schädlichem Code unterschiedliche Maßnahmen gerechtfertigt sein können. Beispielsweise können Organisationen Aktionen als Reaktion auf erkannten schädlichen Code bei regelmäßigen Scans, Aktionen als Reaktion auf die Erkennung schädlicher Downloads und/oder Aktionen als Reaktion auf die Erkennung von schädlichem Code bei der versuchten Öffnung oder Ausführung von Dateien definieren. Verwandte Kontrollen: CM-3, MP-2, SA-4, SA-8, SA-12, SA-13, SC-7, SC-26, SC-44, SI-2, SI-4, SI-7. Referenzen: NIST Sonderveröffentlichung 800-83. | Durch die Begrenzung des Speichers, der Ihren Containern im Amazon Elastic Container Service (ECS) maximal zur Verfügung steht, verhindern Sie eine Ressourcenüberlastung im Falle eines schädlichen Zugriffs auf Ihre Container. | |
| SI-4(1) | Die Organisation verbindet und konfiguriert die einzelnen Intrusion-Detection-Tools zu einem informationssystemweiten Intrusion-Detection-System. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | Aktivieren Sie diese Regel, um die Überwachung der Instance von Amazon Elastic Compute Cloud (Amazon EC2) in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-4(2) | Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SI-4(4) | Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr kontinuierlich auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-4(4) | Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr kontinuierlich auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| SI-4(4) | Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr kontinuierlich auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI-4(4) | Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr kontinuierlich auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-4(5) | Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren]. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-4(5) | Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren]. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| SI-4(5) | Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren]. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI-4(5) | Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren]. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-4(16) | Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen zu der Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Aktivieren Sie diese Regel, um die Überwachung der Instance von Amazon Elastic Compute Cloud (Amazon EC2) in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| SI-4(a)(b)(c) | Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-5 | Die Organisation: a. Erhält fortlaufend Warnmeldungen, Hinweise und Anweisungen zur Informationssystemsicherheit von [Zuweisung: von der Organisation definierte externe Organisationen]; b. Generiert nach Bedarf interne Sicherheitswarnungen, -hinweise und -anweisungen; c. Verteilt Sicherheitswarnungen, Hinweise und Anweisungen an: [Auswahl (eine oder mehrere Optionen): [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen]; [Zuweisung: von der Organisation definierte Elemente innerhalb der Organisation]; [Zuweisung: von der Organisation definierte externe Organisationen]]; und d. Implementiert Sicherheitsrichtlinien gemäß den festgelegten Zeitplänen oder benachrichtigt die ausstellende Organisation über den Grad der Nichteinhaltung. Zusätzliche Empfehlungen: Das United States Computer Emergency Readiness Team (US-CERT) generiert Sicherheitswarnungen und -hinweise, um der Bundesregierung kontinuierlich situationsbedingte Informationen zukommen zu lassen. Sicherheitsrichtlinien werden von der OMB oder anderen benannten Organisationen herausgegeben, die für die Erstellung solcher Richtlinien verantwortlich und befugt sind. Die Einhaltung von Sicherheitsrichtlinien ist aufgrund der Kritizität vieler dieser Richtlinien und der möglichen unmittelbaren negativen Auswirkungen einer verspäteten Umsetzung der Richtlinien auf organisatorische Abläufe und Ressourcen, Einzelpersonen, andere Organisationen und die Nation von entscheidender Bedeutung. Zu den externen Organisationen gehören beispielsweise externe Auftrags-/Geschäftspartner, Lieferkettenpartner, externe Dienstleister und andere gleichrangige oder unterstützende Organisationen. Verwandte Kontrolle: SI-2. Referenzen: NIST Sonderveröffentlichung 800-40. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| SI-5 | Die Organisation: a. Erhält fortlaufend Warnmeldungen, Hinweise und Anweisungen zur Informationssystemsicherheit von [Zuweisung: von der Organisation definierte externe Organisationen]; b. Generiert nach Bedarf interne Sicherheitswarnungen, -hinweise und -anweisungen; c. Verteilt Sicherheitswarnungen, Hinweise und Anweisungen an: [Auswahl (eine oder mehrere Optionen): [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen]; [Zuweisung: von der Organisation definierte Elemente innerhalb der Organisation]; [Zuweisung: von der Organisation definierte externe Organisationen]]; und d. Implementiert Sicherheitsrichtlinien gemäß den festgelegten Zeitplänen oder benachrichtigt die ausstellende Organisation über den Grad der Nichteinhaltung. Zusätzliche Empfehlungen: Das United States Computer Emergency Readiness Team (US-CERT) generiert Sicherheitswarnungen und -hinweise, um der Bundesregierung kontinuierlich situationsbedingte Informationen zukommen zu lassen. Sicherheitsrichtlinien werden von der OMB oder anderen benannten Organisationen herausgegeben, die für die Erstellung solcher Richtlinien verantwortlich und befugt sind. Die Einhaltung von Sicherheitsrichtlinien ist aufgrund der Kritizität vieler dieser Richtlinien und der möglichen unmittelbaren negativen Auswirkungen einer verspäteten Umsetzung der Richtlinien auf organisatorische Abläufe und Ressourcen, Einzelpersonen, andere Organisationen und die Nation von entscheidender Bedeutung. Zu den externen Organisationen gehören beispielsweise externe Auftrags-/Geschäftspartner, Lieferkettenpartner, externe Dienstleister und andere gleichrangige oder unterstützende Organisationen. Verwandte Kontrolle: SI-2. Referenzen: NIST Sonderveröffentlichung 800-40. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| SI-5 | Die Organisation: a. Erhält fortlaufend Warnmeldungen, Hinweise und Anweisungen zur Informationssystemsicherheit von [Zuweisung: von der Organisation definierte externe Organisationen]; b. Generiert nach Bedarf interne Sicherheitswarnungen, -hinweise und -anweisungen; c. Verteilt Sicherheitswarnungen, Hinweise und Anweisungen an: [Auswahl (eine oder mehrere Optionen): [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen]; [Zuweisung: von der Organisation definierte Elemente innerhalb der Organisation]; [Zuweisung: von der Organisation definierte externe Organisationen]]; und d. Implementiert Sicherheitsrichtlinien gemäß den festgelegten Zeitplänen oder benachrichtigt die ausstellende Organisation über den Grad der Nichteinhaltung. Zusätzliche Empfehlungen: Das United States Computer Emergency Readiness Team (US-CERT) generiert Sicherheitswarnungen und -hinweise, um der Bundesregierung kontinuierlich situationsbedingte Informationen zukommen zu lassen. Sicherheitsrichtlinien werden von der OMB oder anderen benannten Organisationen herausgegeben, die für die Erstellung solcher Richtlinien verantwortlich und befugt sind. Die Einhaltung von Sicherheitsrichtlinien ist aufgrund der Kritizität vieler dieser Richtlinien und der möglichen unmittelbaren negativen Auswirkungen einer verspäteten Umsetzung der Richtlinien auf organisatorische Abläufe und Ressourcen, Einzelpersonen, andere Organisationen und die Nation von entscheidender Bedeutung. Zu den externen Organisationen gehören beispielsweise externe Auftrags-/Geschäftspartner, Lieferkettenpartner, externe Dienstleister und andere gleichrangige oder unterstützende Organisationen. Verwandte Kontrolle: SI-2. Referenzen: NIST Sonderveröffentlichung 800-40. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| SI-5 | Die Organisation: a. Erhält fortlaufend Warnmeldungen, Hinweise und Anweisungen zur Informationssystemsicherheit von [Zuweisung: von der Organisation definierte externe Organisationen]; b. Generiert nach Bedarf interne Sicherheitswarnungen, -hinweise und -anweisungen; c. Verteilt Sicherheitswarnungen, Hinweise und Anweisungen an: [Auswahl (eine oder mehrere Optionen): [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen]; [Zuweisung: von der Organisation definierte Elemente innerhalb der Organisation]; [Zuweisung: von der Organisation definierte externe Organisationen]]; und d. Implementiert Sicherheitsrichtlinien gemäß den festgelegten Zeitplänen oder benachrichtigt die ausstellende Organisation über den Grad der Nichteinhaltung. Zusätzliche Empfehlungen: Das United States Computer Emergency Readiness Team (US-CERT) generiert Sicherheitswarnungen und -hinweise, um der Bundesregierung kontinuierlich situationsbedingte Informationen zukommen zu lassen. Sicherheitsrichtlinien werden von der OMB oder anderen benannten Organisationen herausgegeben, die für die Erstellung solcher Richtlinien verantwortlich und befugt sind. Die Einhaltung von Sicherheitsrichtlinien ist aufgrund der Kritizität vieler dieser Richtlinien und der möglichen unmittelbaren negativen Auswirkungen einer verspäteten Umsetzung der Richtlinien auf organisatorische Abläufe und Ressourcen, Einzelpersonen, andere Organisationen und die Nation von entscheidender Bedeutung. Zu den externen Organisationen gehören beispielsweise externe Auftrags-/Geschäftspartner, Lieferkettenpartner, externe Dienstleister und andere gleichrangige oder unterstützende Organisationen. Verwandte Kontrolle: SI-2. Referenzen: NIST Sonderveröffentlichung 800-40. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| SI-7(1) | Das Informationssystem führt mindestens einmal im Monat eine Integritätsprüfung bei sicherheitsrelevanten Ereignissen durch. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| SI-7(1) | Das Informationssystem führt mindestens einmal im Monat eine Integritätsprüfung bei sicherheitsrelevanten Ereignissen durch. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| SI-7(1) | Das Informationssystem führt mindestens einmal im Monat eine Integritätsprüfung bei sicherheitsrelevanten Ereignissen durch. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| SI-7 | Die Organisation verwendet Tools zur Integritätsprüfung, um unbefugte Änderungen an [Zuweisung: von der Organisation definierte Software, Firmware und Informationen] zu erkennen. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Stellen Sie sicher, dass die AWS CodeBuild Projektprotokollierung aktiviert ist, damit Ihre Build-Ausgabeprotokolle entweder an Amazon CloudWatch oder Amazon Simple Storage Service (Amazon S3) gesendet werden. Build-Ausgabeprotokolle enthalten detaillierte Informationen zu Ihrem Build-Projekt. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| SI-11 | Das Informationssystem: a. Generiert Fehlermeldungen mit für Korrekturmaßnahmen erforderlichen Informationen, ohne Informationen preiszugeben, die von Angreifern ausgenutzt werden könnten; und b. Zeigt Fehlermeldungen nur für [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] an. Zusätzliche Empfehlung: Organisationen prüfen sorgfältig die Struktur/den Inhalt von Fehlermeldungen. Inwieweit Informationssysteme in der Lage sind, Fehlerbedingungen zu erkennen und zu verarbeiten, richtet sich nach den Richtlinien und betrieblichen Anforderungen der Organisation. Zu den Informationen, die von Angreifern ausgenutzt werden könnten, gehören beispielsweise fehlerhafte Anmeldeversuche mit versehentlich als Benutzername eingegebenen Passwörtern, Auftrags-/Geschäftsinformationen, die aus den aufgezeichneten Informationen abgeleitet werden können (sofern nicht ausdrücklich angegeben), und persönliche Informationen wie Kontonummern, Sozialversicherungsnummern und Kreditkartennummern. Darüber hinaus können Fehlermeldungen einen verdeckten Kanal für die Übertragung von Informationen bieten. Verwandte Kontrollen: AU-2, AU-3, SC-31. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon FSx-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| SI-12 | Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| SI-16 | Das Informationssystem implementiert [Zuweisung: von der Organisation festgelegte Sicherheitsvorkehrungen], um seinen Speicher vor unberechtigten Codeausführungen zu schützen. Zusätzliche Empfehlung: Einige Angreifer beabsichtigen, Code in nicht ausführbaren Speicherbereichen oder an untersagten Speicherorten auszuführen. Mögliche Sicherheitsmaßnahmen zum Schutz des Speichers sind beispielsweise die Verhinderung der Datenausführung und die zufällige Anordnung des Adressraums. Schutzmaßnahmen zur Verhinderung der Datenausführung können entweder durch Hardware oder durch Software erzwungen werden, wobei die Hardware die effektivere Methode ist. Verwandte Kontrollen: AC-25, SC-3. Verbesserungen der Kontrolle: Keine. Referenzen: Keine. | Durch die Begrenzung des Speichers, der Ihren Containern im Amazon Elastic Container Service (ECS) maximal zur Verfügung steht, verhindern Sie eine Ressourcenüberlastung im Falle eines schädlichen Zugriffs auf Ihre Container. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for FedRAMP (Moderate)
