Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Implementierung von NBC TRMG
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Framework der Technology Risk Management (TRM) Guidelines der National Bank of Cambodia (NBC) und den AWS Managed Config-Regeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NBC TRM-Richtlinien. Eine NBC TRM Guideline kann sich auf mehrere Konfigurationsregeln beziehen. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Diese beispielhafte Conformance-Pack-Vorlage enthält Zuordnungen zu Kontrollen gemäß den Richtlinien der Technology Risk Management (TRM) Guidelines der National Bank of Cambodia (NBC), auf die Sie hier zugreifen können: National Bank of Cambodia: Technology Risk Mangement Guidelines
| Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen zu |
|---|---|---|---|
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf der Grundlage derselben. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird - die Durchführung einer Risikobewertung und die darauf basierende Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird - die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess, bei dem die Erstellung von Benutzern und der Zugriffskontrollmatrix beantragt IDs und autorisiert wird - die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird - die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Autorisierung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | EC2 Instanzprofile übergeben eine IAM-Rolle an eine EC2 Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Sicherstellung einer effektiven Aufgabentrennung - Änderung von Standardbenutzernamen and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über hinzugefügte, gelöschte und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächlichen Benutzern, die Zugriff benötigen, und Löschung aller unnötigen IDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen durch alle Benutzer und - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Prüfung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die sind für längere Zeit beurlaubt | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass die Audit-Protokollierung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Mit der Audit-Protokollierung können Sie Benutzeraktivitäten auf Ihren OpenSearch Domains verfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Aktivieren Sie die Prüfungsprotokollierung, um Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Amazon-Redshift-Cluster zu erfassen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard AWS Foundational Security Best Practices für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen der Management Console bei der Nichtabstreitbarkeit helfen. AWS Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Internet. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | EC2 Instanzprofile übergeben eine IAM-Rolle an eine EC2 Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 3.1.2(a) | a) Das BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitseinrichtungen wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Verhinderung von Angriffen installieren, um die Netzwerkgrenzen zu schützen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.1.2(a) | a) Das BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitseinrichtungen wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Verhinderung von Angriffen installieren, um die Netzwerkgrenzen zu schützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.1.2(a) | a) Das BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitseinrichtungen wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Verhinderung von Angriffen installieren, um die Netzwerkgrenzen zu schützen. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 3.1.2(e) | e) Netzwerkservices können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Services wie VPN, Voice over IP, VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine PIN-basierte Token-Karte mit einem einmaligen Zufallskennwortgenerator oder eine Token-basierte PKI) | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine PIN-basierte Token-Karte mit einem einmaligen zufälligen Passwortgenerator oder eine tokenbasierte PKI) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine PIN-basierte Token-Karte mit einem einmaligen zufälligen Passwortgenerator oder eine tokenbasierte PKI) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine PIN-basierte Token-Karte mit einem zufälligen Einmalpasswortgenerator oder eine Token-basierte PKI) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden für den Bezug und die Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für die von der Organisation verwendeten Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Entschlüsseln, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.1.6(a) | a) Das BFI sollte eine Kombination aus automatisierten Tools und manuellen Techniken anwenden, um regelmäßig eine umfassende VA durchzuführen. Für webbasierte externe Systeme sollte der Anwendungsbereich von VA allgemeine Web-Schwachstellen wie SQL-Injection und Cross-Site-Scripting beinhalten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.1.6(a) | a) Das BFI sollte eine Kombination aus automatisierten Tools und manuellen Techniken anwenden, um regelmäßig eine umfassende VA durchzuführen. Für webbasierte externe Systeme sollte der Anwendungsbereich von VA allgemeine Web-Schwachstellen wie SQL-Injection und Cross-Site-Scripting beinhalten. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.1.6(a) | a) Das BFI sollte eine Kombination aus automatisierten Tools und manuellen Techniken anwenden, um regelmäßig eine umfassende VA durchzuführen. Für webbasierte externe Systeme sollte der Anwendungsbereich von VA allgemeine Web-Schwachstellen wie SQL-Injection und Cross-Site-Scripting beinhalten. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| 3.1.6(c) | c) Das BFI sollte ein Verfahren zur Behebung der in VA und PT festgestellten Probleme einrichten und anschließend die Abhilfemaßnahmen erneut überprüfen, um sicherzustellen, dass die Lücken vollständig behoben wurden. | vuln-mitigated-accepted(Prozessüberprüfung) | Stellen Sie sicher, dass neu identifizierte Schwachstellen behoben oder als akzeptierte Risiken dokumentiert werden. Schwachstellen sollten entsprechend den Compliance-Anforderungen Ihrer Organisation behoben oder als Risiken akzeptiert werden. |
| 3.1.6(f) | f) Die Sicherheitsabteilung sollte für jede Abteilung/Division Statusmeldungen über die Anzahl der nicht behobenen, kritischen Schwachstellen bereitstellen und für die Geschäftsleitung in regelmäßigen Abständen Pläne zu deren Behebung erstellen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| 3.1.8 | Training und Sensibilisierung von Benutzern | security-awareness-program-exists(Prozessüberprüfung) | Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie die Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können. |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfangreicher kontrolliert werden, um sie vor Änderungen zu schützen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Trails aktiviert ist. AWS CloudTrail | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 3.1.10(b) | b) Bei sensiblen Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassendere Kontrollen zum Schutz vor Änderungen vorgenommen werden (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store-(Amazon-EBS-)Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 3.1.10(b) | b) Bei sensiblen Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassendere Kontrollen zum Schutz vor Änderungen vorgenommen werden (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Bei sensiblen Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassendere Kontrollen zum Schutz vor Änderungen vorgenommen werden (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassendere Kontrollen zum Schutz vor Änderungen haben (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon S3 Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfangreicher kontrolliert werden, um sie vor Änderungen zu schützen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Bei sensiblen Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassendere Kontrollen zum Schutz vor Änderungen vorgenommen werden (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen erstellen. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIs sollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Das BFI sollte sicherstellen, dass die Protokollierungseinrichtung in der Lage ist, während des Migrationsprozess stattgefundene Aktivitäten aufzuzeichnen. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.2.3(a) | a) Entwickeln und implementieren Sie Verfahren zur Prävention, Erkennung, Analyse und Reaktion auf Informationssicherheitsvorfälle. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.2.3(a) | a) Entwickeln und implementieren Sie Verfahren zur Prävention, Erkennung, Analyse und Reaktion auf Informationssicherheitsvorfälle. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Redundante Site-to-Site VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter RCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) und WCUThreshold Kontoprozentsatz (Konfigurationsstandard: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.4(f) | f) Stellen Sie sicher, dass eine angemessene Protokollierung und Überwachung erfolgt, damit Aktionen aufgezeichnet und erkannt werden, die für die Informationssicherheit relevant sind oder sich darauf auswirken können. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.6.1(a)(h) | a) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Risikominderung gegen verschiedene Internet-Sicherheitsrisiken ergreifen. h) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Minderung verschiedener Websicherheitsrisiken ergreifen | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.6.1(a)(h) | a) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Risikominderung gegen verschiedene Web-Sicherheitsrisiken ergreifen. h) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Abwehr verschiedener Websicherheitsrisiken ergreifen | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internet-Banking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung sowie auf einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen S-Angriff hindeuten könnte. DDo Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internet-Banking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen S-Angriff hindeuten könnte. DDo Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internet-Banking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was ein Hinweis auf einen S-Angriff sein könnte. DDo Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internet-Banking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was ein Hinweis auf einen S-Angriff sein könnte. DDo Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Internet. ACLs AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internetbanking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen S-Angriff hindeuten könnte. DDo Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| 3.6.1(e) | e) BFIs Sie müssen regelmäßig Sicherheitslücken im Bereich Informationssicherheit bewerten und die Wirksamkeit des bestehenden Frameworks für das IT-Sicherheitsrisikomanagement bewerten und alle erforderlichen Anpassungen vornehmen, um sicherzustellen, dass neu auftretende Sicherheitslücken rechtzeitig behoben werden. Diese Bewertung sollte auch anlässlich wesentlicher Änderungen durchgeführt werden. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. EC2 Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Amazon Elastic Compute Cloud (Amazon EC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einer Amazon-VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for
