Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Betriebliche bewährte Methoden für FFIEC
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den Domänen des Cyber Security Assessment Tool des Federal Financial Institutions Examination Council (FFIEC) und den AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere Steuerelemente des FFIEC Cyber Security Assessment Tool. Eine Kontrolle des FFIEC Cyber Security Assessment Tool kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
| Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen |
|---|---|---|---|
| D1.G.IT.B.1 | Es wird ein Inventar der Unternehmensressourcen (z. B. Hardware, Software, Daten und Systeme, die extern gehostet werden) geführt. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| D1.G.IT.B.1 | Es wird ein Inventar der Unternehmensressourcen (z. B. Hardware, Software, Daten und extern gehostete Systeme) geführt. | Aktivieren Sie diese Regel, um die Basiskonfiguration von Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances zu unterstützen, indem Sie überprüfen, ob Amazon-EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| D1.G.IT.B.1 | Es wird ein Inventar der Unternehmensressourcen (z. B. Hardware, Software, Daten und Systeme, die extern gehostet werden) geführt. | Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| D1.G.IT.B.1 | Es wird ein Inventar der Unternehmensressourcen (z. B. Hardware, Software, Daten und Systeme, die extern gehostet werden) geführt. | Diese Regel stellt sicher, dass Elastic IPs, die einer Amazon Virtual Private Cloud (Amazon VPC) zugeordnet sind, Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances oder in Verwendung befindlichen Elastic-Network-Schnittstellen angehängt werden. Diese Regel unterstützt die Überwachung ungenutzter EIPs in Ihrer Umgebung. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um bei Datensicherungsprozessen zu helfen, stellen Sie sicher, dass für Ihre AWS Backup-Wiederherstellungspunkte eine Mindestaufbewahrungsdauer festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie den Parameter requiredRetentionDays (Config Default: 35) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D1.RM.Rm.B.1 | Innerhalb der Einrichtung gibt es mindestens eine Risikomanagementfunktion im Bereich Informationssicherheit und Geschäftskontinuität. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| D1.RM.RA.B.2 | Die Risikobewertung identifiziert internetbasierte Systeme und Transaktionen mit hohem Risiko, die zusätzliche Authentifizierungskontrollen erfordern. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D1.RM.RA.B.2 | Die Risikobewertung identifiziert internetbasierte Systeme und Transaktionen mit hohem Risiko, die zusätzliche Authentifizierungskontrollen erfordern. | annual-risk-assessment-performed (Prozessüberprüfung) | Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln. |
| D1.TC.Tr.B.2 | Die jährlichen Schulungen zur Informationssicherheit umfassen die Reaktion auf Vorfälle, aktuelle Cyberbedrohungen (z. B. Phishing, Spear-Phishing, Social Engineering und mobile Sicherheit) sowie neu auftretende Probleme. | security-awareness-program-exists (Prozessüberprüfung) | Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie ihre Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können. |
| D2.IS.Is.B.1 | Bedrohungen der Informationssicherheit werden erfasst und den zuständigen internen Mitarbeitern mitgeteilt. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D2.IS.Is.B.1 | Bedrohungen der Informationssicherheit werden erfasst und den zuständigen internen Mitarbeitern mitgeteilt. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D2.IS.Is.B.1 | Bedrohungen der Informationssicherheit werden erfasst und den zuständigen internen Mitarbeitern mitgeteilt. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D2.MA.Ma.B.1 | Protokolle zu Prüfungen und anderen Sicherheitsereignissen werden überprüft und sicher aufbewahrt. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D2.MA.Ma.B.2 | Computerereignisprotokolle werden für Untersuchungen verwendet, nachdem ein Ereignis eingetreten ist. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| D2.TI.Ti.B.1 | Die Institution gehört einer oder mehreren Quellen zum Informationsaustausch über Bedrohungen und Sicherheitslücken an, die Informationen über Bedrohungen bereitstellen (z. B. FS-ISAC, US-CERT). | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D2.TI.Ti.B.1 | Die Institution gehört einer oder mehreren Quellen zum Informationsaustausch über Bedrohungen und Sicherheitslücken an, die Informationen über Bedrohungen bereitstellen (z. B. FS-ISAC, US-CERT). | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D2.TI.Ti.B.2 | Bedrohungsinformationen werden zur Überwachung von Bedrohungen und Schwachstellen verwendet. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| D2.TI.Ti.B.2 | Bedrohungsinformationen werden zur Überwachung von Bedrohungen und Schwachstellen verwendet. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D2.TI.Ti.B.2 | Bedrohungsinformationen werden zur Überwachung von Bedrohungen und Schwachstellen verwendet. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D2.TI.Ti.B.3 | Bedrohungsinformationen werden zur Verbesserung des internen Risikomanagements und interner Kontrollen verwendet. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D2.TI.Ti.B.3 | Bedrohungsinformationen werden zur Verbesserung des internen Risikomanagements und interner Kontrollen verwendet. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.CC.PM.B.1 | Ein Patch-Management-Programm wird implementiert, damit Software- und Firmware-Patches rechtzeitig installiert werden. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| D3.CC.PM.B.1 | Ein Patch-Management-Programm wird implementiert, damit Software- und Firmware-Patches rechtzeitig installiert werden. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| D3.CC.PM.B.1 | Ein Patch-Management-Programm wird implementiert, damit Software- und Firmware-Patches rechtzeitig installiert werden. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service (RDS)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| D3.CC.PM.B.1 | Ein Patch-Management-Programm wird implementiert, damit Software- und Firmware-Patches rechtzeitig installiert werden. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen. allowVersionUpgrade Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.CC.PM.B.3 | Die Patch-Management-Berichte werden geprüft und geben Auskunft über fehlende Sicherheitspatches. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| D3.CC.PM.B.3 | Die Patch-Management-Berichte werden geprüft und geben Auskunft über fehlende Sicherheitspatches. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| D3.CC.PM.B.3 | Die Patch-Management-Berichte werden geprüft und geben Auskunft über fehlende Sicherheitspatches. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service (RDS)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| D3.CC.PM.B.3 | Die Patch-Management-Berichte werden geprüft und geben Auskunft über fehlende Sicherheitspatches. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen. allowVersionUpgrade Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.DC.An.B.1 | Die Einrichtung ist in der Lage, ungewöhnliche Aktivitäten durch Überwachung der gesamten Umgebung zu erkennen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| D3.DC.An.B.1 | Die Einrichtung ist in der Lage, ungewöhnliche Aktivitäten durch Überwachung der gesamten Umgebung zu erkennen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D3.DC.An.B.1 | Die Einrichtung ist in der Lage, ungewöhnliche Aktivitäten durch Überwachung der gesamten Umgebung zu erkennen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.DC.An.B.2 | Kundentransaktionen, die Warnmeldungen zu ungewöhnlichen Aktivitäten auslösen, werden überwacht und geprüft. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.DC.An.B.2 | Kundentransaktionen, die Warnmeldungen zu ungewöhnlichen Aktivitäten auslösen, werden überwacht und geprüft. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D3.DC.An.B.3 | Protokolle des physischen und/oder logischen Zugriffs werden nach Ereignissen überprüft. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D3.DC.An.B.4 | Der Zugriff Dritter auf kritische Systeme wird auf unbefugte oder ungewöhnliche Aktivitäten überwacht. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| D3.DC.An.B.5 | Erhöhte Berechtigungen werden überwacht. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.DC.An.B.5 | Erhöhte Berechtigungen werden überwacht. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.DC.Ev.B.1 | Es wurde eine Baseline für normale Netzwerkaktivitäten eingerichtet. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D3.DC.Ev.B.2 | Es gibt Mechanismen (z. B. Antivirenwarnungen, Warnmeldungen zur Protokollierung von Ereignissen), um vor potenziellen Angriffen zu warnen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.DC.Ev.B.3 | Es wurden Verfahren eingerichtet, um die Umgebung auf nicht autorisierte Benutzer, Geräte, Verbindungen und Software zu überwachen. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D3.DC.Ev.B.3 | Es wurden Verfahren eingerichtet, um die Umgebung auf nicht autorisierte Benutzer, Geräte, Verbindungen und Software zu überwachen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.DC.Ev.B.3 | Es wurden Verfahren eingerichtet, um die Umgebung auf nicht autorisierte Benutzer, Geräte, Verbindungen und Software zu überwachen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D3.DC.Ev.B.3 | Es wurden Verfahren eingerichtet, um die Umgebung auf nicht autorisierte Benutzer, Geräte, Verbindungen und Software zu überwachen. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.DC.Th.B.1 | Unabhängige Tests (einschließlich Penetrationstests und Schwachstellenscans) werden basierend auf der Risikobewertung für externe Systeme und das interne Netzwerk durchgeführt. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D3.DC.Th.B.1 | Unabhängige Tests (einschließlich Penetrationstests und Schwachstellenscans) werden basierend auf der Risikobewertung für externe Systeme und das interne Netzwerk durchgeführt. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D3.DC.Th.B.1 | Unabhängige Tests (einschließlich Penetrationstests und Schwachstellenscans) werden basierend auf der Risikobewertung für externe Systeme und das interne Netzwerk durchgeführt. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.1 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt basierend auf den beruflichen Pflichten und dem Grundsätz der geringsten Berechtigung. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.10 | Produktions- und Nichtproduktionsumgebungen sind segmentiert, um unbefugten Zugriff oder Änderungen an Informationsressourcen zu verhindern. (*N/A, wenn keine Produktionsumgebung in der Institution oder einem Drittanbieter der Institution vorhanden ist.) | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| D3.PC.Am.B.10 | Produktions- und Nichtproduktionsumgebungen sind segmentiert, um unbefugten Zugriff oder Änderungen an Informationsressourcen zu verhindern. (*N/A, wenn in der Institution oder einem Drittanbieter der Institution keine Produktionsumgebung vorhanden ist.) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| D3.PC.Am.B.10 | Produktions- und Nichtproduktionsumgebungen sind segmentiert, um unbefugten Zugriff oder Änderungen an Informationsressourcen zu verhindern. (*N/A, wenn keine Produktionsumgebung in der Institution oder einem Drittanbieter der Institution vorhanden ist.) | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| D3.PC.Am.B.10 | Produktions- und Nichtproduktionsumgebungen sind segmentiert, um unbefugten Zugriff oder Änderungen an Informationsressourcen zu verhindern. (*N/A, wenn keine Produktionsumgebung in der Institution oder einem Drittanbieter der Institution vorhanden ist.) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| D3.PC.Am.B.12 | Alle Passwörter werden im Speicher und während der Übertragung verschlüsselt. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. Internet) übertragen werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. Internet) übertragen werden. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| D3.PC.Am.B.13 | Vertrauliche Daten werden verschlüsselt, wenn sie über öffentliche oder nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| D3.PC.Am.B.15 | Der Remote-Zugriff auf kritische Systeme durch Mitarbeiter, Auftragnehmer und Dritte erfolgt über verschlüsselte Verbindungen und Multi-Faktor-Authentifizierung. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| D3.PC.Am.B.16 | Administrative, physische oder technische Kontrollen verhindern, dass Benutzer ohne administrative Aufgaben nicht autorisierte Software installieren. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.16 | Administrative, physische oder technische Kontrollen verhindern, dass Benutzer ohne administrative Aufgaben nicht autorisierte Software installieren. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| D3.PC.Am.B.16 | Administrative, physische oder technische Kontrollen verhindern, dass Benutzer ohne administrative Aufgaben nicht autorisierte Software installieren. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.16 | Administrative, physische oder technische Kontrollen verhindern, dass Benutzer ohne administrative Aufgaben nicht autorisierte Software installieren. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.2 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt nach dem Grundsatz der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.2 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt nach dem Grundsatz der Aufgabentrennung. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.2 | Der Mitarbeiterzugriff auf Systeme und vertrauliche Daten erfolgt nach dem Grundsatz der Aufgabentrennung. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen). | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen) | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen) | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.3 | Erhöhte Rechte (z. B. Administratorrechte) sind begrenzt und werden streng kontrolliert (sie werden z. B. einzelnen Personen zugewiesen, nicht gemeinsam genutzt und erfordern strengere Kennwortkontrollen) | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt wurden. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| D3.PC.Am.B.6 | Für den Zugriff auf Systeme, Anwendungen und Hardware sind Identifikation und Authentifizierung erforderlich und werden verwaltet. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Am.B.7 | Zu den Zugriffskontrollen gehören die konfigurierte Passwortkomplexität und Beschränkungen für Passworteingabeversuche und die Wiederverwendung von Passwörtern. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Am.B.8 | Alle Standardpasswörter und nicht benötigten Standardkonten werden vor der Systemimplementierung geändert. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| D3.PC.Im.B.1 | Es werden Tools zur Abwehr von Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| D3.PC.Im.B.1 | Es werden Tools zur Abwehr von Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Im.B.1 | Es werden Tools zur Abwehr von Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| D3.PC.Im.B.1 | Es werden Tools zur Abwehr von Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| D3.PC.Im.B.1 | Es werden Tools zur Abwehr von Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| D3.PC.Im.B.1 | Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) werden verwendet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| D3.PC.Im.B.1 | Es werden Tools zum Schutz vor Netzwerkperimetern (z. B. Grenzrouter und Firewall) verwendet. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Protokolle verwenden, um den Netzwerkverkehr zu überwachen. | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| D3.PC.IM.B.2 | Systeme, auf die über das Internet oder durch externe Parteien zugegriffen wird, sind durch Firewalls oder ähnliche Geräte geschützt. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D3.PC.IM.B.3 | Alle Ports werden überwacht. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| D3.PC.Im.B.5 | Systemkonfigurationen (für Server, Desktops, Router usw.) entsprechen Branchenstandards und werden durchgesetzt. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| D3.PC.Im.B.5 | Systemkonfigurationen (für Server, Desktops, Router usw.) entsprechen Branchenstandards und werden durchgesetzt. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| D3.PC.Im.B.5 | Systemkonfigurationen (für Server, Desktops, Router usw.) entsprechen Branchenstandards und werden durchgesetzt. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| D3.PC.IM.B.6 | Ports, Funktionen, Protokolle und Services werden verboten, wenn sie nicht mehr für geschäftliche Zwecke benötigt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| D3.PC.IM.B.6 | Ports, Funktionen, Protokolle und Services werden verboten, wenn sie nicht mehr für geschäftliche Zwecke benötigt werden. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| D3.PC.IM.B.6 | Ports, Funktionen, Protokolle und Services werden verboten, wenn sie nicht mehr für geschäftliche Zwecke benötigt werden. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| D3.PC.IM.B.6 | Ports, Funktionen, Protokolle und Services werden verboten, wenn sie nicht mehr für geschäftliche Zwecke benötigt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D3.PC.Im.B.7 | Änderungen an Systemkonfigurationen (einschließlich virtueller Maschinen und Hypervisoren) werden kontrolliert und überwacht. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| D3.PC.Se.B.1 | Für die Einrichtung tätige Entwickler befolgen im Rahmen eines Lebenszyklus der Systementwicklung (System Development Life Cycle; SDLC) sichere Programmierungsmethoden, die den Branchenstandards entsprechen. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| D3.PC.Se.B.1 | Für die Einrichtung tätige Entwickler befolgen im Rahmen eines Lebenszyklus der Systementwicklung (System Development Life Cycle; SDLC) sichere Programmierungsmethoden, die den Branchenstandards entsprechen. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| D4.C.Co.B.2 | Die Einrichtung stellt sicher, dass Verbindungen von Drittanbietern autorisiert werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| D4.C.Co.B.2 | Die Einrichtung stellt sicher, dass Verbindungen von Drittanbietern autorisiert werden. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| D4.C.Co.B.2 | Die Einrichtung stellt sicher, dass Verbindungen von Drittanbietern autorisiert werden. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| D4.C.Co.B.2 | Die Einrichtung stellt sicher, dass Verbindungen von Drittanbietern autorisiert werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D5.DR.De.B.1 | Für die Erkennung von Vorfällen im Bereich der Informationssicherheit werden Warnparameter mit Aufforderungen zu entsprechenden Abhilfemaßnahmen eingerichtet. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| D5.DR.De.B.1 | Für die Erkennung von Vorfällen im Bereich der Informationssicherheit werden Warnparameter mit Aufforderungen zu entsprechenden Abhilfemaßnahmen eingerichtet. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D5.DR.De.B.1 | Für die Erkennung von Vorfällen im Bereich der Informationssicherheit werden Warnparameter mit Aufforderungen zu entsprechenden Abhilfemaßnahmen eingerichtet. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D5.DR.De.B.2 | Systemleistungsberichte enthalten Informationen, die als Risikoindikator zur Erkennung von Vorfällen im Bereich der Informationssicherheit verwendet werden können. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| D5.DR.De.B.2 | Systemleistungsberichte enthalten Informationen, die als Risikoindikator zur Erkennung von Vorfällen im Bereich der Informationssicherheit verwendet werden können. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. AWS Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| D5.DR.De.B.3 | Es sind Tools und Prozesse vorhanden, um das Programm zur Reaktion aus Vorfälle zu erkennen, zu alarmieren und auszulösen. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| D5.ER.Es.B.4 | Vorfälle werden klassifiziert, protokolliert und nachverfolgt. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| D5.IR.Pl.B.1 | Die Einrichtung verfügt über einen dokumentierten Plan, wie sie auf Cybervorfälle reagieren wird. | response-plan-exists-maintained (Prozessüberprüfung) | Stellen Sie sicher, dass Vorfallreaktionspläne erstellt, verwaltet und an das verantwortliche Personal verteilt werden. |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon-RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um bei Datensicherungsprozessen zu helfen, stellen Sie sicher, dass für Ihre AWS Backup-Wiederherstellungspunkte eine Mindestaufbewahrungsdauer festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie den Parameter requiredRetentionDays (Config Default: 35) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| D5.IR.Pl.B.6 | Die Einrichtung plant, Programme für Geschäftskontinuität, Notfallwiederherstellung und Datensicherung einzusetzen, um den Betrieb nach einem Vorfall wiederherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for FFIEC
