Betriebliche bewährte Methoden für die HIPAA-Sicherheit - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Betriebliche bewährte Methoden für die HIPAA-Sicherheit

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Health Insurance Portability and Accountability Act (HIPAA) und den AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere HIPAA-Kontrollen. Eine HIPAA-Kontrolle kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Dieses Konformitätspaket wurde von AWS Security Assurance Services LLC (AWS SAS) validiert. Dabei handelt es sich um ein Team von qualifizierten Sicherheitsbewertern () für die Zahlungskartenbranche (QSAs), HITRUST-zertifizierten Common Security Framework Practitionern (CCSFPs) und Compliance-Experten, die für die Bereitstellung von Leitlinien und Bewertungen für verschiedene Branchen-Frameworks zertifiziert sind. AWS Die Experten von SAS haben dieses Conformance Pack so konzipiert, dass sich ein Kunde an einen Teil des HIPAA anpassen kann.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
164.308(a)(1)(ii)(A) (A) Risikoanalyse (erforderlich). Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit von elektronisch geschützten Gesundheitsinformationen durch, die sich im Besitz der jeweiligen Entität befinden. annual-risk-assessment-performed (Prozessüberprüfung) Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten die Autorisierung für den Zugriff auf GitHub Bitbucket-Repositorys.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

dms-replication-not-public

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter RCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) und WCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2- instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s-3 bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s3- bucket-server-side-encryption -aktiviert

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
164.308(a)(1)(ii)(B) (B) Risikomanagement (erforderlich). Implementieren Sie ausreichende Sicherheitsmaßnahmen, um Risiken und Schwachstellen auf ein angemessenes Maß zu reduzieren und die Vorgaben aus Abschnitt 164.306(a) zu erfüllen.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werden IMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ec2- instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten die Autorisierung für den Zugriff auf GitHub Bitbucket-Repositorys.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.308(a)(3)(i) (3)(i) Standard: Sicherheit der Belegschaft. Implementieren Sie Richtlinien und Verfahren, um sicherzustellen, dass alle Mitarbeiter angemessen Zugriff auf elektronisch geschützte Gesundheitsinformationen haben, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, und um zu verhindern, dass Mitarbeiter ohne Zugriff gemäß Absatz (a) (4) dieses Abschnitts Zugriff auf elektronisch geschützte Gesundheitsinformationen erhalten.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

iam-customer-policy-blocked-KMS-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen oder an Orten arbeiten, an denen auf diese zugegriffen werden könnte.

iam-inline-policy-blocked-KMS-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen oder an Orten arbeiten, an denen auf diese zugegriffen werden könnte.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder sich an Orten befinden, an denen auf diese zugegriffen werden kann.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

ec2- instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder sich an Orten befinden, an denen auf diese zugegriffen werden kann.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

s 3- bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Zulassung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden könnte.

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
164.308(a)(3)(ii)(A) (A) and/or supervision (Addressable). Implement procedures for the authorization and/or Überwachung der Autorisierung von Mitarbeitern, die mit elektronisch geschützten Gesundheitsinformationen arbeiten oder an Orten, an denen auf diese zugegriffen werden kann.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.308(a)(3)(ii)(B) (B) Verfahren zur Freigabe am Personal (adressierbar). Implementiere Sie Verfahren, um festzustellen, ob der Zugriff von Mitarbeitern auf elektronisch geschützte Gesundheitsinformationen angemessen ist.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(3)(ii)(C) (C) Verfahren zur Beendigung des Zugriffs (adressierbar). Implementieren Sie Verfahren, um den Zugriff auf elektronisch geschützte Gesundheitsinformationen einzustellen, wenn ein Beschäftigungsverhältnis endet oder dies aufgrund der Bestimmungen gemäß Absatz (a)(3)(ii)(B) dieses Abschnitts erforderlich ist.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(4)(i) (4)(i) Standard: Verwaltung des Informationszugriffs. Implementieren Sie Richtlinien und Verfahren für die Genehmigung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, die den geltenden Anforderungen in Unterabschnitt E dieses Abschnitts entsprechen.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werden IMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ec2- instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten die Autorisierung für den Zugriff auf GitHub Bitbucket-Repositorys.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(4)(ii)(A) (A) Isolierung der Clearinghouse-Funktionen für Gesundheitsinformationen (erforderlich). Wenn ein Clearinghouse für Gesundheitsinformationen Teil einer größeren Organisation ist, muss das Clearinghouse Richtlinien und Verfahren einführen, die die elektronisch geschützten Gesundheitsinformationen des Clearinghouse vor unbefugtem Zugriff durch andere Teile der Organisation schützen.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

secretsmanager-rotation-enabled-check

Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

ec-2 instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(4)(ii)(B) (B) Zugriffsberechtigung (adressierbar). Implementieren Sie Richtlinien und Verfahren für die Gewährung des Zugriffs auf elektronisch geschützte Gesundheitsinformationen, z. B. durch den Zugriff auf eine Workstation, einen Vorgang, ein Programm, einen Prozess oder einen anderen Mechanismus.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werden IMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ec2- instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten die Autorisierung für den Zugriff auf GitHub Bitbucket-Repositorys.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.308(a)(4)(ii)(C) (C) Einrichtung und Änderung des Zugriffs (adressierbar). Implementieren Sie Richtlinien und Verfahren, mit denen auf der Grundlage der Zugriffsberechtigungsrichtlinien der Entität die Zugriffsrechte von Benutzern auf eine Workstation, einen Vorgang, ein Programm oder einen Prozess festgelegt, dokumentiert, überprüft und geändert werden.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.308(a)(5)(ii)(A) (A) Sicherheitserinnerungen (adressierbar). Regelmäßige Sicherheitsupdates.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
164.308(a)(5)(ii)(A) (A) Sicherheitserinnerungen (adressierbar). Regelmäßige Sicherheitsupdates.

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
164.308(a)(5)(ii)(A) (A) Sicherheitserinnerungen (adressierbar). Regelmäßige Sicherheitsupdates.

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(5)(ii)(A) (A) Sicherheitserinnerungen (adressierbar). Regelmäßige Sicherheitsupdates.

rds-automatic-minor-version-Upgrade aktiviert

Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service (RDS)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können.
164.308(a)(5)(ii)(B) (B) Schutz vor Malware (adressierbar). Verfahren zum Schutz vor Malware sowie zur Erkennung und Meldung von Malware.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
164.308(a)(5)(ii)(B) (B) Schutz vor Malware (adressierbar). Verfahren zum Schutz vor Malware sowie zur Erkennung und Meldung von Malware.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
164.308(a)(5)(ii)(B) (B) Schutz vor Malware (adressierbar). Verfahren zum Schutz vor Malware sowie zur Erkennung und Meldung von Malware.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
164.308(a)(5)(ii)(C) (C) Überwachung der Anmeldung (adressierbar). Verfahren zur Überwachung von Anmeldeversuchen und zur Meldung von Unstimmigkeiten.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
164.308(a)(5)(ii)(C) (C) Überwachung der Anmeldung (adressierbar). Verfahren zur Überwachung von Anmeldeversuchen und zur Meldung von Unstimmigkeiten.

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console dazu beitragen, dass die Daten nicht zurückgewiesen werden können. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
164.308(a)(5)(ii)(C) (C) Überwachung der Anmeldung (adressierbar). Verfahren zur Überwachung von Anmeldeversuchen und zur Meldung von Unstimmigkeiten.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
164.308(a)(5)(ii)(D) (D) Passwortverwaltung (adressierbar). Verfahren zum Erstellen, Ändern und Schützen von Passwörtern.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(6)(i) (6)(i) Standard: Verfahren für Sicherheitsvorfälle. Implementieren Sie Richtlinien und Verfahren zur Behebung von Sicherheitsvorfällen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
164.308(a)(6)(ii) (ii) Spezifikation der Implementierung: Reaktion und Berichterstattung (erforderlich). Identifizieren Sie vermutete oder bekannte Sicherheitsvorfälle und reagieren Sie darauf; mindern Sie, soweit möglich, schädliche Auswirkungen von Sicherheitsvorfällen, die der betroffenen Entität bekannt sind, und dokumentieren Sie Sicherheitsvorfälle und ihre Folgen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

rds-cluster-deletion-protection-aktiviert

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.308(a)(7)(i) (7) (i) Standard: Notfallplan. Festlegung (und nach Bedarf Umsetzung) von Richtlinien und Verfahren zur Reaktion auf Notfälle oder andere Ereignisse (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), durch die Systeme beschädigt werden, die elektronischegeschützte Gesundheitsinformationen enthalten.

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
164.308(a)(7)(ii)(A) (A) Datensicherungsplan (erforderlich). Einrichtung und Implementierung von Verfahren zur Erstellung und Aufbewahrung exakter, abrufbarer Kopien elektronisch geschützter Gesundheitsinformationen.

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.308(a)(7)(ii)(B) (B) Notfallwiederherstellungsplan (erforderlich). Etablieren Sie Verfahren zur Wiederherstellung von Datenverlusten (und implementieren Sie sie nach Bedarf).

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

rds-cluster-deletion-protection-aktiviert

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
164.308(a)(7)(ii)(C) (C) Betriebsplan für den Notfallmodus (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren, um die Fortführung kritischer Geschäftsprozesse zum Schutz von elektronisch geschützten Gesundheitsinformationen im Notfallmodus zu ermöglichen.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
164.308(a)(8) (8) Standard: Bewertung. Führen Sie eine regelmäßige technische und nichttechnische Bewertung durch, die zunächst auf den im Rahmen dieser Regel eingeführten Standards basiert und anschließend als Reaktion auf Umgebungs- oder Verfahrensänderungen mit Auswirkungen auf die Sicherheit elektronisch geschützter Gesundheitsinformationen und feststellt, inwieweit die Sicherheitsrichtlinien und -verfahren einer Entität den Anforderungen dieses Unterabschnitts entsprechen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
164.308(a)(8) (8) Standard: Bewertung. Führen Sie eine regelmäßige technische und nichttechnische Bewertung durch, die zunächst auf den im Rahmen dieser Regel eingeführten Standards basiert und anschließend als Reaktion auf Umgebungs- oder Verfahrensänderungen mit Auswirkungen auf die Sicherheit elektronisch geschützter Gesundheitsinformationen und feststellt, inwieweit die Sicherheitsrichtlinien und -verfahren einer Entität den Anforderungen dieses Unterabschnitts entsprechen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werden IMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ec2- instance-profile-attached

EC2 Instanzprofile übergeben eine IAM-Rolle an eine Instanz EC2 . Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten die Autorisierung für den Zugriff auf GitHub Bitbucket-Repositorys.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

s-3 bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.312(a)(1) (a) (1) Standard: Zugriffskontrolle. Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, in denen elektronisch geschützte Gesundheitsinformationen gespeichert werden, sodass nur Personen oder Softwareprogramme darauf zugreifen können, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.312(a)(2)(i) (2) Spezifikationen der Implementierung: (i) Eindeutige Benutzeridentifikation (erforderlich). Weisen Sie einen eindeutigen Namen und/oder eine eindeutige Nummer zur Identifizierung und Nachverfolgung der Benutzeridentität zu.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

ec2--Plan resources-protected-by-backup

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

aurora-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

backup-plan-min-frequency-and-min-retention-check

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

backup-recovery-point-manual-löschen-deaktiviert

Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden.
164.312(a)(2)(ii) (ii) Zugriffsverfahren für Notfälle (erforderlich). Etablieren (und nach Bedarf implementieren) Sie Verfahren zur Beschaffung der in einem Notfall erforderlichen elektronisch geschützten Gesundheitsinformationen.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Trails aktiviert ist. AWS CloudTrail
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-predefined-security-policy-ssl-check

Stellen Sie sicher, dass Ihre SSL-Listener von Classic Elastic Load Balancing eine vordefinierte Sicherheitsrichtlinie verwenden, um Daten während der Übertragung zu schützen. Elastic Load Balancing bietet vordefinierte Aushandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wurde. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen. Diese Regel verlangt, dass Sie eine vordefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Policy-TLS-1-2-2017-0. ELBSecurity Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(a)(2)(iv) (iv) Verschlüsselung und Entschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur Ver- und Entschlüsselung elektronisch geschützter Gesundheitsinformationen.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter RCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) und WCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon-RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

s3- event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
164.312(b) (b) Standard: Prüfungskontrollen. Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
164.312(c)(1) (c)(1) Standard: Integrität. Implementieren Sie Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung.

s-3 bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
164.312(c)(1) (c)(1) Standard: Integrität. Implementieren Sie Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.312(c)(1) (c)(1) Standard: Integrität. Implementieren Sie Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung.

cloud-trail-log-file-validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
164.312(c)(1) (c)(1) Standard: Integrität. Implementieren Sie Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.312(c)(1) (c)(1) Standard: Integrität. Implementieren Sie Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(c)(2) (2) Spezifikation der Implementierung: Mechanismus zur Authentifizierung elektronisch geschützter Gesundheitsinformationen (adressierbar). Implementieren Sie elektronische Mechanismen zur Bestätigung, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise verändert oder vernichtet wurden.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
164.312(c)(2) (2) Spezifikation der Implementierung: Mechanismus zur Authentifizierung elektronisch geschützter Gesundheitsinformationen (adressierbar). Implementieren Sie elektronische Mechanismen zur Bestätigung, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise verändert oder vernichtet wurden.

s-3 bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
164.312(c)(2) (2) Spezifikation der Implementierung: Mechanismus zur Authentifizierung elektronisch geschützter Gesundheitsinformationen (adressierbar). Implementieren Sie elektronische Mechanismen zur Bestätigung, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise verändert oder vernichtet wurden.

s3- bucket-server-side-encryption -aktiviert

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.312(c)(2) (2) Spezifikation der Implementierung: Mechanismus zur Authentifizierung elektronisch geschützter Gesundheitsinformationen (adressierbar). Implementieren Sie elektronische Mechanismen zur Bestätigung, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise verändert oder vernichtet wurden.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(c)(2) (2) Spezifikation der Implementierung: Mechanismus zur Authentifizierung elektronisch geschützter Gesundheitsinformationen (adressierbar). Implementieren Sie elektronische Mechanismen zur Bestätigung, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise verändert oder vernichtet wurden.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
164.312(d) (d) Standard: Authentifizierung von Personen oder Entitäten. Implementieren Sie Verfahren, um zu überprüfen, ob es sich bei einer Person oder Entität, die Zugriff auf elektronisch geschützte Gesundheitsinformationen anfordert, tatsächlich um die behauptete Person oder Entität handelt.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen des NIST SP 800-63 und des AWS Foundational Security Best Practices-Standards für Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(d) (d) Standard: Authentifizierung von Personen oder Entitäten. Implementieren Sie Verfahren, um zu überprüfen, ob es sich bei einer Person oder Entität, die Zugriff auf elektronisch geschützte Gesundheitsinformationen anfordert, tatsächlich um die behauptete Person oder Entität handelt.

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
164.312(d) (d) Standard: Authentifizierung von Personen oder Entitäten. Implementieren Sie Verfahren, um zu überprüfen, ob es sich bei einer Person oder Entität, die Zugriff auf elektronisch geschützte Gesundheitsinformationen anfordert, tatsächlich um die behauptete Person oder Entität handelt.

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
164.312(d) (d) Standard: Authentifizierung von Personen oder Entitäten. Implementieren Sie Verfahren, um zu überprüfen, ob es sich bei einer Person oder Entität, die Zugriff auf elektronisch geschützte Gesundheitsinformationen anfordert, tatsächlich um die behauptete Person oder Entität handelt.

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
164.312(d) (d) Standard: Authentifizierung von Personen oder Entitäten. Implementieren Sie Verfahren, um zu überprüfen, ob es sich bei einer Person oder Entität, die Zugriff auf elektronisch geschützte Gesundheitsinformationen anfordert, tatsächlich um die behauptete Person oder Entität handelt.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

elb-predefined-security-policy-ssl-check

Stellen Sie sicher, dass Ihre SSL-Listener von Classic Elastic Load Balancing eine vordefinierte Sicherheitsrichtlinie verwenden, um Daten während der Übertragung zu schützen. Elastic Load Balancing bietet vordefinierte Aushandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wurde. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen. Diese Regel verlangt, dass Sie eine vordefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Policy-TLS-1-2-2017-0. ELBSecurity Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

s3-Blöcke, periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

api-gw-associated-with-WAF

AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.312(e)(1) (e)(1) Standard: Übertragungssicherheit. Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronisch geschützte Gesundheitsinformationen, die über ein elektronisches Kommunikationsnetz übertragen werden.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

elb-predefined-security-policy-ssl-check

Stellen Sie sicher, dass Ihre SSL-Listener von Classic Elastic Load Balancing eine vordefinierte Sicherheitsrichtlinie verwenden, um Daten während der Übertragung zu schützen. Elastic Load Balancing bietet vordefinierte Aushandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wurde. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen. Diese Regel verlangt, dass Sie eine vordefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Policy-TLS-1-2-2017-0. ELBSecurity Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.312(e)(2)(i) (i) Integritätskontrollen (adressierbar). Implementieren Sie Sicherheitsmaßnahmen, um dafür zu sorgen, dass elektronisch übertragene und elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unbemerkt verändert werden.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Trails aktiviert ist. AWS CloudTrail
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-predefined-security-policy-ssl-check

Stellen Sie sicher, dass Ihre SSL-Listener von Classic Elastic Load Balancing eine vordefinierte Sicherheitsrichtlinie verwenden, um Daten während der Übertragung zu schützen. Elastic Load Balancing bietet vordefinierte Aushandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wurde. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen. Diese Regel verlangt, dass Sie eine vordefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Policy-TLS-1-2-2017-0. ELBSecurity Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.312(e)(2)(ii) (ii) Verschlüsselung (adressierbar). Implementieren Sie einen Mechanismus zur bedarfsweisen Verschlüsselung elektronisch geschützter Gesundheitsinformationen.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

s3-fähig bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(1) (b)(1) Standard: Anforderungen an kollektive Gesundheitspläne. Sofern die einzigen elektronisch geschützten Gesundheitsinformationen nicht gemäß 164.504(f)(1)(ii) oder (iii) oder gemäß 164.508 an einen Versicherer weitergegeben werden, muss in den Versicherungsunterlagen eines kollektiven Gesundheitsplans festgelegt sein, dass der Versicherer elektronisch geschützte Gesundheitsinformationen, die für den kollektiven Gesundheitsplan erstellt, empfangen, verwaltet oder von oder an diesen übermittelt werden, angemessen schützt.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

s3-fähig bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2) (2) Implementierungsspezifikationen (erforderlich). Die Dokumente des kollektiven Gesundheitsplans müssen dahingehend geändert werden, dass der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen trifft, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt; (ii) sicherstellt, dass die in 164.504(f)(2)(iii) vorgeschriebene angemessene Trennung durch sinnvolle und angemessene Sicherheitsmaßnahmen unterstützt wird; (iii) sicherstellt, dass sich der Beauftragte, einschließlich eines Unterauftragnehmers, dem er diese Informationen zur Verfügung stellt, damit einverstanden erklärt, sinnvolle und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen; und (iv) dem kollektiven Gesundheitsplan alle Sicherheitsvorfälle meldet, von dem er Kenntnis erlangt.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

s3- bucket-acl-prohibited

Diese Regel prüft, ob Access Control Lists (ACLs) für die Zugriffskontrolle auf Amazon S3 S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Stattdessen empfiehlt es sich ACLs, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elb-predefined-security-policy-ssl-check

Stellen Sie sicher, dass Ihre SSL-Listener von Classic Elastic Load Balancing eine vordefinierte Sicherheitsrichtlinie verwenden, um Daten während der Übertragung zu schützen. Elastic Load Balancing bietet vordefinierte Aushandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wurde. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen. Diese Regel verlangt, dass Sie eine vordefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Policy-TLS-1-2-2017-0. ELBSecurity Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

Elb v 2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

ec-2 ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

rds-cluster-deletion-protection-aktiviert

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

s3- bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
164.314(b)(2)(i) (2) Implementierungsspezifikationen (erforderlich). Die Plandokumente des kollektiven Gesundheitsplans müssen um Bestimmungen ergänzt werden, nach denen der Versicherungsträger: (i) administrative, physische und technische Sicherheitsvorkehrungen treffen muss, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch geschützten Gesundheitsinformationen, die er im Namen des kollektiven Gesundheitsplans erstellt, empfängt, verwaltet oder übermittelt, sinnvoll und angemessen schützt;

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for HIPAA Security.