Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Operative Best Practices für NBC TRMG
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, verwaltete oder benutzerdefinierte Governance-Checks für Sicherheit, Betrieb oder Kostenoptimierung zu erstellen AWS Config Regeln und AWS Config Abhilfemaßnahmen. Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Bestandsaufnahme zwischen den Leitlinien der Nationalbank von Kambodscha (NBC) für das Technologierisikomanagement (TRM) und AWS verwaltete Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NBC TRM Richtlinien. Eine NBC TRM Richtlinie kann sich auf mehrere Konfigurationsregeln beziehen. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Diese Vorlage für ein Konformitätspaket enthält Zuordnungen zu Kontrollen innerhalb der Richtlinien der National Bank of Cambodia (NBC) für das Technologierisikomanagement (TRM), auf die Sie hier zugreifen können: National Bank of Cambodia: Technology Risk
| Kontroll-ID | Beschreibung der Kontrolle | AWS Konfigurationsregel | Empfehlungen zu |
|---|---|---|---|
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche Benutzer, die Zugriff auf und Löschung aller unnötigen Daten haben müssenIDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Erwägung, Benutzer oder Benutzer IDs kritischer Anwendungen zu deaktivieren, die sich über einen längeren Zeitraum im Urlaub befinden | Der Zugriff auf Systeme und Ressourcen kann kontrolliert werden, indem überprüft wird, ob dem Root-Benutzer keine Zugriffsschlüssel zugewiesen sind AWS Rolle „Identity and Access Management“ (IAM). Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen eine rollenbasierte AWS-Konten um dabei zu helfen, das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematisches Verfahren zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche Benutzer, die Zugriff auf und Löschung aller unnötigen Daten haben müssenIDs, falls vorhanden - Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und - Erwägung, Benutzer oder Benutzer IDs kritischer Anwendungen zu deaktivieren, die sich über einen längeren Zeitraum im Urlaub befinden | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung einer Benutzer IDs - und Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Erteilung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Einzelheiten gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung einer Benutzer IDs - und Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse aus mehreren AWS Dienste. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager und AWS Lösungen von Partnern. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Anwendung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugangskontrollmatrix - Durchführung einer Risikobewertung und auf deren Grundlage die Gewährung von Zugriffsrechten. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung einer Benutzer IDs - und Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Zentralisierte Verwaltung von AWS-Konten innerhalb AWS Organizations hilft sicherzustellen, dass Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle enthalten AWS Schlüssel für den Schlüsselverwaltungsdienst. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird. - Die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu verbinden, indem sichergestellt wird, dass IAM Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzer IDs - und Zugriffskontrollmatrizen - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Stellen Sie sicher, dass AWS Der Benutzer, die IAM Rolle oder die IAM Gruppe für Identity and Access Management (IAM) verfügt nicht über eine Inline-Richtlinie, die blockierte Aktionen für alle zulässt AWS Schlüssel für den Schlüsselverwaltungsdienst. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird. - Die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess, bei dem die Erstellung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und autorisiert wird. - Die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - ein systematischer Prozess, bei dem die Einrichtung einer Benutzer- und Zugriffskontrollmatrix beantragt IDs und genehmigt wird - die Durchführung einer Risikobewertung und die Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die in Betracht gezogen werden müssen, gehören: - ein systematischer Prozess zur Beantragung und Genehmigung der Einrichtung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(d) | d) Zu den wichtigen Kontrollen, die berücksichtigt werden müssen, gehören: - Ein systematischer Prozess zur Beantragung und Genehmigung der Erstellung von Benutzern IDs und der Zugriffskontrollmatrix - Durchführung einer Risikobewertung und Gewährung von Zugriffsrechten auf dieser Grundlage. - Implementierung einer rollenbasierten Zugriffskontrolle zur Gewährleistung einer effektiven Aufgabentrennung - Änderung der Standardbenutzernamen und/oder Passwörter von Systemen und Verbot der gemeinsamen Nutzung von Benutzern IDs und Passwörtern generischer Konten - Änderung der Zugriffsrechte bei Änderung der Rolle oder Verantwortung und Entzug der Zugriffsrechte bei Beendigung des Beschäftigungsverhältnisses oder des Vertrags - Verfahren zur rechtzeitigen Benachrichtigung der Informationssicherheitsfunktion über Hinzufügungen, Löschungen und Rollenänderungen von Benutzern - Regelmäßiger Abgleich von Benutzern IDs in einem System und tatsächliche BenutzerIDs, die Zugriff auf alle unnötigen Daten haben und diese löschen müssen — Prüfung, Protokollierung und Überwachung des Zugriffs aller Benutzer auf IT-Ressourcen und — Erwägung der Deaktivierung IDs von Benutzern kritischer Anwendungen, die über einen längeren Zeitraum beurlaubt sind | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass die Audit-Protokollierung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Mit der Audit-Protokollierung können Sie Benutzeraktivitäten auf Ihren OpenSearch Domains verfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Aktivieren Sie die Prüfungsprotokollierung, um Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Amazon-Redshift-Cluster zu erfassen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(f) | f) Stellen Sie zur Erfüllung der Rechenschaftspflicht sicher, dass Benutzer und IT-Ressourcen eindeutig identifiziert werden und ihre Aktionen überprüfbar sind. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Zugangsdaten für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugangsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon-Cluster aktiviert wird. EMR In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Hauptverteilungszentrum () bezeichnet. KDC Über diesen Server können sich Prinzipale authentifizieren. Der KDC authentifiziert sich, indem er Tickets zur Authentifizierung ausstellt. Der KDC verwaltet eine Datenbank mit den Prinzipalen in seinem Bereich, ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer unternehmensinternen Passwortrichtlinie ausgestellt, verwaltet und verifiziert. IAM Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und der AWS Grundlegender Standard für bewährte Sicherheitsverfahren in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional festlegen RequireUppercaseCharacters (AWS Wert der bewährten Methoden für grundlegende Sicherheit: true), RequireLowercaseCharacters (AWS Wert „Bewährte grundlegende Sicherheitsverfahren“: wahr), ( RequireSymbols AWS Wert „Bewährte grundlegende Sicherheitsverfahren“: wahr), ( RequireNumbers AWS Wert „Bewährte grundlegende Sicherheitsverfahren“: wahr), ( MinimumPasswordLength AWS Wert „Bewährte grundlegende Sicherheitsverfahren“: 14), ( PasswordReusePrevention AWS Wert „Bewährte grundlegende Sicherheitsverfahren“: 24) und ( MaxPasswordAge AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90) für Ihre IAM Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Der Zugriff auf Systeme und Ressourcen kann kontrolliert werden, indem überprüft wird, ob dem Root-Benutzer keine Zugriffsschlüssel zugewiesen sind AWS Rolle „Identity and Access Management“ (IAM). Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen eine rollenbasierte AWS-Konten um dabei zu helfen, das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Wolke. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Diese Regel gewährleistet AWS Richtlinien für Identity and Access Management (IAM) werden nur Gruppen oder Rollen zugewiesen, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle aktiviert MFA ist AWS Identity and Access Management (IAM) -Benutzer, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt MFA wird, dass die Hardware für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS-Konto. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie den Root-Benutzer angeben, können Sie die Zahl der kompromittierten Benutzer reduzieren MFA AWS-Konten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass sie für den Root-Benutzer aktiviert MFA ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS-Konto. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie den Root-Benutzer angeben, können Sie die Zahl der kompromittierten Benutzer reduzieren MFA AWS-Konten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass AWS Für Benutzer, IAM Rollen oder IAM Gruppen von Identity and Access Management (IAM) gibt es keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Einzelheiten gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die Protokollierung aktiviert ELB ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Zentralisierte Verwaltung von AWS-Konten innerhalb AWS Organizations hilft sicherzustellen, dass Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle enthalten AWS Schlüssel für den Schlüsselverwaltungsdienst. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu verbinden, indem sichergestellt wird, dass IAM Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass AWS Der Benutzer, die IAM Rolle oder die IAM Gruppe für Identity and Access Management (IAM) verfügt nicht über eine Inline-Richtlinie, die blockierte Aktionen für alle zulässt AWS Schlüssel für den Schlüsselverwaltungsdienst. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass die IAM Aktionen nur auf die Aktionen beschränkt sind, die tatsächlich erforderlich sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.1(h) | h) Systemadministratoren, Sicherheitsbeauftragte, Programmierer und Mitarbeiter, die kritische Vorgänge durchführen, können aufgrund ihrer Aufgaben und ihres privilegierten Zugriffs den von ihnen unterhaltenen oder betriebenen Finanzsystemen schweren Schaden zuzufügen. Mitarbeiter mit erhöhten Systemzugriffsberechtigungen sollten engmaschig beaufsichtigt und alle ihre Systemaktivitäten protokolliert werden, da sie über Insiderwissen und die nötigen Ressourcen verfügen, um Systemkontrollen und Sicherheitsverfahren zu umgehen. Einige der unten aufgeführten Kontroll- und Sicherheitspraktiken müssen berücksichtigt werden: - Implementierung einer Zwei-Faktor-Authentifizierung für privilegierte Benutzer - Einführung strenger Kontrollen des Fernzugriffs durch privilegierte Benutzer - Beschränkung der Anzahl privilegierter Benutzer - Gewährung von privilegierten Zugriffen auf „" oder "need-to-haveneed-to-do“ -Basis - Aufrechterhaltung der Audit-Protokollierung der von privilegierten Benutzern ausgeführten Systemaktivitäten - Sicherstellung, dass privilegierte Benutzer keinen Zugriff auf Systemprotokolle haben, in denen ihre Aktivitäten erfasst werden - Durchführung regelmäßiger Audits oder Managementüberprüfungen der Protokolle — Verbot der Weitergabe von privilegierten Daten IDs und deren Zugangscodes — Verbot des privilegierten Zugriffs auf Systeme ohne genaue Überwachung und Überwachung und _ Schutz von Backup-Daten vor unbefugtem Zugriff | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| 3.1.2(a) | a) Das Unternehmen BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitsgeräte wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Abwehr von Eindringlingen installieren, um die Netzwerkgrenzen zu schützen. | Stellen Sie sicher AWS WAFist auf Elastic Load Balancers (ELB) aktiviert, um Webanwendungen zu schützen. A WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor häufigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.1.2(a) | a) Das Unternehmen BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitsgeräte wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Abwehr von Eindringlingen installieren, um die Netzwerkgrenzen zu schützen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.1.2(a) | a) Das Unternehmen BFI sollte an kritischen Stellen seiner IT-Infrastruktur Netzwerksicherheitsgeräte wie Firewalls, Antiviren-/Anti-Malware-Software sowie Systeme zur Erkennung und Verhinderung von Eindringlingen installieren, um die Netzwerkgrenzen zu schützen. | AWS WAFermöglicht es Ihnen, eine Reihe von Regeln (eine so genannte Web-Zugriffskontrollliste (WebACL)) zu konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway-Phase mit einem WAF Web verknüpft istACL, um sie vor böswilligen Angriffen zu schützen | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate ausgestellt werden von AWS ACM. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse aus mehreren AWS Dienste. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager und AWS Lösungen von Partnern. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwaltet den Zugriff auf die AWS Cloud, indem sichergestellt wird, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf AWS Cloud, indem sichergestellt wird, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf AWS Cloud, indem sichergestellt wird, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf AWS Cloud, indem sichergestellt wird, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf AWS Cloud, indem sichergestellt wird, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf die AWS Cloud, indem sichergestellt wird, dass EMR Amazon-Cluster-Masterknoten nicht öffentlich zugänglich sind. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr ermöglichen AWS Ressourcen schätzen. Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher innerhalb der AWS Wolke. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass Internet-Gateways nur mit der autorisierten Amazon Virtual Private Cloud (AmazonVPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zum und vom AmazonVPC, was möglicherweise zu einem unbefugten Zugriff auf VPC Amazon-Ressourcen führen kann. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud durch Sicherstellung AWS Auf Lambda-Funktionen kann nicht öffentlich zugegriffen werden. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Bereitstellen AWS Lambda funktioniert in einer Amazon Virtual Private Cloud (AmazonVPC) für eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des AmazonVPC. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher innerhalb der AWS Wolke. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, AWS Lambda-Funktionen sollten a VPC zugewiesen werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewährt wird. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewährt wird. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr bereitstellen AWS Ressourcen schätzen. Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre AWS Ressourcen schätzen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass auf Buckets von Amazon Simple Storage Service (Amazon S3) nicht öffentlich zugegriffen werden kann. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwaltet den Zugriff auf den AWS Cloud, indem sichergestellt wird, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass auf Buckets von Amazon Simple Storage Service (Amazon S3) nicht öffentlich zugegriffen werden kann. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(c) | c) Es sollten Kontrollen eingeführt werden, um die Informationssicherheit in Netzwerken und den Schutz vernetzter Services vor unbefugtem Zugriff zu gewährleisten. Insbesondere sollten die folgenden Punkte in Erwägung gezogen werden: - Für die Verwaltung von Netzwerkgeräten sollten Zuständigkeiten und Verfahren festgelegt werden; - Die operative Verantwortung für Netzwerke sollte gegebenenfalls von den Computervorgängen getrennt werden; - Es sollten spezifische Kontrollen eingeführt werden, um die Vertraulichkeit und Integrität von Daten zu gewährleisten, die über öffentliche oder drahtlose Netzwerke übertragen werden, und um die vernetzten Systeme und Anwendungen zu schützen (einschließlich Netzwerkverschlüsselungsprotokollen bei Verbindungen zu nicht vertrauenswürdigen Systemen/Netzwerken); - Es sollten eine angemessene Protokollierung und Überwachung durchgeführt werden, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit beeinträchtigen könnten oder für sie relevant sind; - Die Verwaltungsaktivitäten sollten eng koordiniert werden, um einerseits den Service für die Organisation zu optimieren und andererseits sicherzustellen, dass die Kontrollen in der gesamten Informationsverarbeitungsinfrastruktur einheitlich angewendet werden; - Die Systeme im Netzwerk sollten authentifiziert werden; und - Nicht vertrauenswürdige Systemverbindungen zum Netzwerk sollten eingeschränkt werden. | Stellen Sie sicher AWS Systems Manager (SSM) -Dokumente sind nicht öffentlich, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate ausgestellt werden von AWS ACM. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP usw. VSAT reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu anspruchsvollen Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP usw. VSAT reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP VSAT usw. reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP usw. VSAT reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI. | |
| 3.1.2(e) | e) Netzwerkdienste können von einfacher, nicht verwalteter Bandbreite bis hin zu ausgeklügelten Diensten wie VPN Voice over IP usw. VSAT reichen. Netzwerkservices sollten folgende Sicherheitsmerkmale aufweisen: - Technologien zum Schutz von Netzwerkservices, z. B. Authentifizierung, Verschlüsselung und Kontrolle der Netzwerkverbindung; - Technische Parameter für eine sichere Verbindung mit den Netzwerkservices gemäß den Sicherheits- und Netzwerkverbindungsregeln; und - Verfahren für die Nutzung von Netzwerkservices, um gegebenenfalls den Zugriff auf Netzwerkservices oder -anwendungen einzuschränken. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate ausgestellt werden von AWS ACM. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI. | |
| 3.1.3(e) | e) Schützen Sie die Kommunikationskanäle zwischen dem Remotezugriffsgerät und der Einrichtung durch Verschlüsselung, um die mit Netzwerk-Spoofing verbundenen Risiken zu begrenzen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.1.3(g) | g) Führen Sie Protokolle für die Kommunikation per Remotezugriff. Die Protokolle sollten Datum, Uhrzeit, Benutzer, Standort, Dauer und Zweck sämtlicher Remotezugriffe enthalten, einschließlich aller per Remotezugriff ausgeführten Aktivitäten. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. PIN eine Token-Karte mit einem einmaligen Zufallskennwortgenerator oder eine Token-basierte PKI Authentifizierung) | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Wolke. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine Token-Karte mit einem einmaligen Zufallspasswortgenerator oder eine PIN Token-basierte Authentifizierung) PKI | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle aktiviert MFA ist AWS Identity and Access Management (IAM) -Benutzer, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine Token-Karte mit einem einmaligen Zufallspasswortgenerator oder eine PIN Token-basierte Authentifizierung) PKI | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt MFA wird, dass die Hardware für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS-Konto. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie den Root-Benutzer angeben, können Sie die Zahl der kompromittierten Benutzer reduzieren MFA AWS-Konten. | |
| 3.1.3(i) | i) Erzwingen Sie eine Zwei-Faktor-Authentifizierung für den Fernzugriff (z. B. eine Token-Karte mit einem einmaligen Zufallskennwortgenerator oder eine PIN Token-basierte Authentifizierung) PKI | Verwalten Sie den Zugriff auf Ressourcen im AWS Cloud, indem Sie sicherstellen, dass sie für den Root-Benutzer aktiviert MFA ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS-Konto. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie den Root-Benutzer angeben, können Sie die Zahl der kompromittierten Benutzer reduzieren MFA AWS-Konten. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb der Organisation ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances verwaltet werden mit AWS Systems Manager. Verwenden Sie AWS Systems Manager zur Bereitstellung detaillierter Systemkonfigurationen, Betriebssystem-Patch-Levels, Servicenamen und -typen, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie anderer Details zu Ihrer Umgebung. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Verwenden Sie AWS Systems Manager Associations zur Unterstützung bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität in AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden zur Beschaffung und Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für von der Organisation verwendete Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| 3.1.4(c)(e) | c) Der Patch-Management-Prozess sollte folgende Aspekte beinhalten: - Festlegung von Methoden für den Bezug und die Validierung von Patches, um sicherzustellen, dass der Patch von einer autorisierten Quelle stammt - Identifizierung von Sicherheitslücken, die für die von der Organisation verwendeten Anwendungen und Systeme gelten - Bewertung der geschäftlichen Auswirkungen der Implementierung von Patches (oder der Nichtimplementierung eines bestimmten Patches) - Sicherstellung, dass Patches getestet werden - Beschreibung von Methoden für die automatische Bereitstellung von Patches, z. B. automatisch - Berichterstattung über den Status der Patch-Bereitstellung im gesamten Unternehmen und - Einbeziehen von Methoden für den Umgang mit der fehlgeschlagenen Bereitstellung eines Patches (z. B. erneutes Bereitstellen des Patches). e) BFIs sollte automatisierte Patch-Management-Tools und Softwareupdate-Tools für alle Systeme bereitstellen, für die solche Tools verfügbar und sicher sind | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Nebenversions-Updates für das Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes beinhalten können. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht für das Löschen vorgesehen sind AWS Schlüsselverwaltungsdienst (AWS KMS). Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle enthalten AWS Schlüssel für den Schlüsselverwaltungsdienst. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(d)(e) | d) Eine angemessene Schlüsselverwaltung erfordert sichere Verfahren für Generierung, Speicherung, Archivierung, Abruf, Verteilung, Außerbetriebnahme und Vernichtung kryptografischer Schlüssel. e) Alle kryptografischen Schlüssel sollten vor Änderung und Verlust geschützt werden. Darüber hinaus müssen geheime und private Schlüssel vor unbefugter Verwendung und Offenlegung geschützt werden. Geräte, die zum Generieren, Speichern und Archivieren von Schlüsseln verwendet werden, sollten physisch geschützt werden. | Stellen Sie sicher, dass AWS Der Benutzer, die IAM Rolle oder die IAM Gruppe für Identity and Access Management (IAM) verfügt nicht über eine Inline-Richtlinie, die blockierte Aktionen für alle zulässt AWS Schlüssel für den Schlüsselverwaltungsdienst. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (AWS Wert der bewährten Methoden für grundlegende Sicherheitsverfahren: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht für das Löschen vorgesehen sind AWS Schlüsselverwaltungsdienst (AWS KMS). Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate ausgestellt werden von AWS ACM. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.1.5(f) | f) Ein Schlüsselverwaltungssystem sollte auf vereinbarten Standards, Verfahren und sicheren Methoden basieren für: - Generierung von Schlüsseln für verschiedene kryptografische Systeme und verschiedene Anwendungen - Ausstellung und Beschaffung von Zertifikaten für öffentliche Schlüssel - Verteilung von Schlüsseln an vorgesehene Einrichtungen, einschließlich der Art und Weise, wie Schlüssel beim Empfang aktiviert werden sollten - Speicherung von Schlüsseln, einschließlich der Art und Weise, wie autorisierte Benutzer Zugriff auf Schlüssel erhalten - Änderung oder Aktualisierung von Schlüsseln, einschließlich Regeln darüber, wann Schlüssel geändert werden sollten und wie dies geschehen soll - Umgang mit kompromittierten Schlüsseln - Widerruf Schlüssel, einschließlich How-Schlüssel sollte zurückgezogen oder deaktiviert werden, beispielsweise wenn Schlüssel kompromittiert wurden oder wenn ein Benutzer eine Organisation verlässt (in diesem Fall sollten Schlüssel auch archiviert werden) — Wiederherstellung verloren gegangener oder beschädigter Schlüssel — Sicherung oder Archivierung von Schlüsseln — Zerstörung von Schlüsseln und — Protokollierung und Prüfung von Aktivitäten im Zusammenhang mit der Schlüsselverwaltung. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.1.6(a) | a) Sie BFI sollten eine Kombination aus automatisierten Tools und manuellen Techniken einsetzen, um regelmäßig eine umfassende VA durchzuführen. Bei webbasierten, nach außen gerichteten Systemen sollte der Anwendungsbereich der VA häufig auftretende Internet-Schwachstellen wie SQL Injection und Cross-Site Scripting umfassen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.1.6(a) | a) Sie BFI sollten eine Kombination aus automatisierten Tools und manuellen Techniken einsetzen, um regelmäßig eine umfassende VA durchzuführen. Bei webbasierten, nach außen gerichteten Systemen sollte der Anwendungsbereich der VA häufig auftretende Internet-Schwachstellen wie SQL Injection und Cross-Site Scripting umfassen. | Stellen Sie sicher AWS WAFist auf Elastic Load Balancers (ELB) aktiviert, um Webanwendungen zu schützen. A WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor häufigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.1.6(a) | a) Sie BFI sollten eine Kombination aus automatisierten Tools und manuellen Techniken einsetzen, um regelmäßig eine umfassende VA durchzuführen. Bei webbasierten, nach außen gerichteten Systemen sollte der Anwendungsbereich der VA häufig auftretende Internet-Schwachstellen wie SQL Injection und Cross-Site Scripting umfassen. | AWS WAFermöglicht es Ihnen, eine Reihe von Regeln (eine so genannte Web-Zugriffskontrollliste (WebACL)) zu konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway-Phase mit einem WAF Web verknüpft istACL, um sie vor böswilligen Angriffen zu schützen | |
| 3.1.6(c) | c) Sie BFI sollten ein Verfahren zur Behebung der in VA und PT identifizierten Probleme einrichten und anschließend die Behebung erneut validieren, um sicherzustellen, dass die Lücken vollständig behoben wurden. | vuln-mitigated-accepted(Prozessprüfung) | Stellen Sie sicher, dass neu identifizierte Schwachstellen behoben oder als akzeptierte Risiken dokumentiert werden. Schwachstellen sollten entsprechend den Compliance-Anforderungen Ihrer Organisation behoben oder als Risiken akzeptiert werden. |
| 3.1.6(f) | f) Die Sicherheitsabteilung sollte für jede Abteilung/Division Statusmeldungen über die Anzahl der nicht behobenen, kritischen Schwachstellen bereitstellen und für die Geschäftsleitung in regelmäßigen Abständen Pläne zu deren Behebung erstellen. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| 3.1.8 | Training und Sensibilisierung von Benutzern | security-awareness-program-exists(Prozessüberprüfung) | Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie die Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können. |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfangreicher kontrolliert werden, um sie vor Änderungen zu schützen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Pfade. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Nutzen AWS CloudTrail Überprüfung der Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon S3 Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfangreicher kontrolliert werden, um sie vor Änderungen zu schützen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, sorgen Sie für eine Verschlüsselung mit AWS Schlüsselverwaltungsdienst (AWS KMS) ist für Ihren SageMaker Endpunkt aktiviert. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, sorgen Sie für eine Verschlüsselung mit AWS Schlüsselverwaltungsdienst (AWS KMS) ist für Ihr SageMaker Notebook aktiviert. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie zum Schutz dieser Daten die Verschlüsselung im Ruhezustand aktivieren. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen verschlüsselt werden müssen mit AWS Schlüsselverwaltungsservice (AWS KMS). Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Daten zu Produktionstransaktionen sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig sind DynamoDB-Tabellen verschlüsselt mit einem AWS Hauptschlüssel des eigenen Kunden ()CMK. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassender kontrolliert werden, um sie vor Änderungen zu schützen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, sollten Sie die Verschlüsselung sicherstellen mit AWS Schlüsselverwaltungsdienst (AWS KMS) ist für Ihren Amazon Redshift Redshift-Cluster aktiviert. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 3.1.10(b) | b) Vertrauliche Informationen wie Systemdokumentation, Anwendungsquellcode und Produktionstransaktionsdaten sollten umfassenderen Kontrollen zum Schutz vor Änderungen unterliegen (z. B. Integritätsprüfungen, kryptografische Hashes). Darüber hinaus sollten Richtlinien die Verbreitung sensibler Informationen, einschließlich Ausdrucken mit solchen Informationen, auf ein Mindestmaß beschränken. | Um Daten im Ruhezustand zu schützen, sollten Sie die Verschlüsselung sicherstellen mit AWS Schlüsselverwaltungsdienst (AWS KMS) ist aktiviert für AWS Secrets Manager Geheimnisse. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchgeführt werden. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plan. AWS Backup ist ein vollständig verwalteter Sicherungsservice mit einer richtlinienbasierten Sicherungslösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plan. AWS Backup ist ein vollständig verwalteter Sicherungsservice mit einer richtlinienbasierten Sicherungslösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plan. AWS Backup ist ein vollständig verwalteter Sicherungsservice mit einer richtlinienbasierten Sicherungslösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (AmazonRDS) -Instances Teil eines AWS Backup-Plan. AWS Backup ist ein vollständig verwalteter Sicherungsservice mit einer richtlinienbasierten Sicherungslösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| 3.2.1(h) | h) Um die mit Änderungen verbundenen Risiken zu minimieren, BFIs sollten Sie vor der Änderung Backups der betroffenen Systeme oder Anwendungen durchführen. BFIssollte einen Rollback-Plan erstellen, um zu einer früheren Version des Systems oder der Anwendung zurückzukehren, falls während oder nach der Bereitstellung ein Problem auftritt. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Dadurch BFI sollte sichergestellt werden, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Einzelheiten gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.2.1(k) | k) Prüfungs- und Sicherheitsprotokolle sind nützliche Informationen, die Untersuchungen und die Behebung von Problemen erleichtern. Sie BFI sollten sicherstellen, dass die Protokollierungsfunktion aktiviert ist, um Aktivitäten aufzuzeichnen, die während des Migrationsprozesses ausgeführt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.2.3(a) | a) Entwickeln und implementieren Sie Verfahren zur Prävention, Erkennung, Analyse und Reaktion auf Informationssicherheitsvorfälle. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.2.3(a) | a) Entwickeln und implementieren Sie Verfahren zur Prävention, Erkennung, Analyse und Reaktion auf Informationssicherheitsvorfälle. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse aus mehreren AWS Dienste. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager und AWS Lösungen von Partnern. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Amazon DynamoDB Auto Scaling verwendet die AWS Application Auto Scaling Scaling-Dienst zur Anpassung der bereitgestellten Durchsatzkapazität, der automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Redundante VPN Standort-to-Site-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität für den Fall sicherzustellen, dass eine der VPN Site-to-Site-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite VPN Site-to-Site-Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.3.1(a) | a) Berücksichtigen Sie wichtige Faktoren im Zusammenhang mit der Aufrechterhaltung einer hohen Systemverfügbarkeit, einer angemessenen Kapazität, einer zuverlässigen Leistung, einer schnellen Reaktionszeit und Skalierbarkeit als Teil des Systemdesigns. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es aufzeichnet AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Nutzen AWS CloudTrail Überprüfung der Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.4(a)(b)(c)(f)(j) | a) Stellen Sie sicher, dass Aufzeichnungen über Benutzerzugriffe eindeutig identifiziert und zu Prüfungs- und Kontrollzwecken protokolliert werden; b) Sorgen Sie dafür, dass die Rechenschaftspflicht und die Identifizierung von unbefugten Zugriffen dokumentiert werden; c) Ermöglichen Sie die Prüfungsprotokollierung von Systemaktivitäten, die von privilegierten Benutzern ausgeführt werden; f) Stellen Sie sicher, dass die Ereignisprotokollierung die Grundlage für automatisierte Überwachungssysteme bildet, die konsolidierte Berichte und Warnmeldungen zur Systemsicherheit generieren können. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.4(f) | f) Stellen Sie sicher, dass eine angemessene Protokollierung und Überwachung erfolgt, damit Aktionen aufgezeichnet und erkannt werden, die für die Informationssicherheit relevant sind oder sich darauf auswirken können. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse aus mehreren AWS Dienste. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager und AWS Lösungen von Partnern. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Einzelheiten gehören AWS-Konto Informationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, IP-Adresse und Uhrzeit des Ereignisses. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | AWS CloudTrail Aufzeichnungen AWS Aktionen und API Aufrufe der Managementkonsole. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, die Quell-IP-Adresse, von der aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail liefert Protokolldateien von allen AWS Regionen in Ihren S3-Bucket, wenn MULTI REGION _ CLOUD _ TRAIL _ _ aktiviert ENABLED ist. Außerdem, wann AWS startet eine neue Region und CloudTrail erstellt denselben Pfad in der neuen Region. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Aufnahme von AWS CloudTrail Daten liefern Einzelheiten zur API Anrufaktivität innerhalb Ihres AWS-Konto. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | AWS CloudTrail kann bei der Nichtabstreitbarkeit durch Aufzeichnung helfen AWS Aktionen und Aufrufe der Managementkonsole. API Sie können die Benutzer identifizieren und AWS-Konten das nannte man AWS Dienst, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe. Einzelheiten der erfassten Daten finden Sie in AWS CloudTrail Inhalt aufzeichnen. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Die VPC Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, wenn möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 3.4(g) | g) Stellen Sie sicher, dass die Ereignisprotokolle gegebenenfalls Folgendes enthalten: IDs - Benutzer - Systemaktivitäten - Datum, Uhrzeit und Einzelheiten wichtiger Ereignisse, z. B. An- und Abmeldung - Geräteidentität oder Standort, falls möglich, und System-ID - Aufzeichnungen über erfolgreiche und abgelehnte Systemzugriffsversuche - Aufzeichnungen über erfolgreiche und abgelehnte Daten und andere Ressourcenzugriffsversuche - Änderungen der Systemkonfiguration - Verwendung von Rechten - Verwendung von Systemdienstprogrammen und Anwendungen - Zugriffsarten und Art des Zugriffs - Netzwerkadressen und Protokolle - Ausgelöste Alarme durch die Zugriffskontrolle System und - Aufzeichnungen von Transaktionen, die von Benutzern in Anwendungen ausgeführt wurden, und Online-Kundentransaktionen | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 3.6.1(a)(h) | a) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Risikominderung gegen verschiedene Internet-Sicherheitsrisiken ergreifen. h) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Minderung verschiedener Websicherheitsrisiken ergreifen | Stellen Sie sicher AWS WAFist auf Elastic Load Balancers (ELB) aktiviert, um Webanwendungen zu schützen. A WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor häufigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.6.1(a)(h) | a) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Risikominderung gegen verschiedene Web-Sicherheitsrisiken ergreifen. h) BFIs müssen angemessene Sicherheitsmaßnahmen für ihre Webanwendungen sicherstellen und angemessene Maßnahmen zur Minderung verschiedener Websicherheitsrisiken ergreifen | AWS WAFermöglicht es Ihnen, eine Reihe von Regeln (eine so genannte Web-Zugriffskontrollliste (WebACL)) zu konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway-Phase mit einem WAF Web verknüpft istACL, um sie vor böswilligen Angriffen zu schützen | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internet-Banking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate ausgestellt werden von AWS ACM. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (AWS Bewährte grundlegende Sicherheitsmethoden (Wert: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die dem erforderlichen Grad an Vertraulichkeit und Integrität Rechnung trägt. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internet-Banking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Die ode-to-node N-Verschlüsselung ermöglicht TLS die 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internetbanking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen in Bezug auf ihre Internetbanking-Systeme und andere relevante Systeme bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI. | |
| 3.6.1(b) | b) BFIs müssen die Sicherheitsanforderungen im Zusammenhang mit ihren Internet-Banking-Systemen und anderen relevanten Systemen bewerten und eine Verschlüsselungslösung einführen, die den erforderlichen Grad an Vertraulichkeit und Integrität berücksichtigt. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager zur Verwaltung, Bereitstellung und Bereitstellung von öffentlichen und privaten SSL TLS /Zertifikaten mit AWS Dienste und interne Ressourcen. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internetbanking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen Angriff hindeuten könnte. DDoS Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Stellen Sie sicher AWS WAFist auf Elastic Load Balancers (ELB) aktiviert, um Webanwendungen zu schützen. A WAF trägt zum Schutz Ihrer Webanwendungen oder APIs vor häufigen Web-Exploits bei. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internet-Banking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung sowie auf einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen Angriff hindeuten könnte. DDoS Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten innerhalb Ihres Unternehmens zu identifizieren AWS Cloud-Umgebung. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internetbanking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung und einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen Angriff hindeuten könnte. DDoS Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse aus mehreren AWS Dienste. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager und AWS Lösungen von Partnern. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internetbanking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung sowie auf einen plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen Angriff hindeuten könnte. DDoS Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie AWS WAF(V2) Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung liefert detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen wird die Zeit aufgezeichnet, zu der AWS WAFhabe die Anfrage von Ihrem erhalten AWS Ressource, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 3.6.1(d) | d) Die BFIs Bereitstellung von Internetbanking sollte auf ungewöhnliche Netzwerkverkehrsbedingungen und Systemleistung sowie auf plötzlichen Anstieg der Systemressourcenauslastung reagieren, was auf einen Angriff hindeuten könnte. DDoS Folglich hängt der Erfolg aller präventiven und reaktiven Maßnahmen vom Einsatz geeigneter Tools ab, mit denen Anomalien in Netzwerken und Systemen wirksam erkannt, überwacht und analysiert werden können. | AWS WAFermöglicht es Ihnen, eine Reihe von Regeln (eine so genannte Web-Zugriffskontrollliste (WebACL)) zu konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway-Phase mit einem WAF Web verknüpft istACL, um sie vor böswilligen Angriffen zu schützen | |
| 3.6.1(e) | e) BFIs Sie müssen regelmäßig Sicherheitslücken im Bereich Informationssicherheit bewerten und die Wirksamkeit des bestehenden Rahmens für das IT-Sicherheitsrisikomanagement bewerten und alle erforderlichen Anpassungen vornehmen, um sicherzustellen, dass neu auftretende Sicherheitslücken rechtzeitig behoben werden. Diese Bewertung sollte auch anlässlich wesentlicher Änderungen durchgeführt werden. | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf AWS Cloud, indem sichergestellt wird, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf AWS Cloud, indem sichergestellt wird, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf AWS Cloud, indem sichergestellt wird, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf AWS Cloud, indem sichergestellt wird, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf AWS Cloud, indem sichergestellt wird, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf die AWS Cloud, indem sichergestellt wird, dass EMR Amazon-Cluster-Masterknoten nicht öffentlich zugänglich sind. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr ermöglichen AWS Ressourcen schätzen. Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher innerhalb der AWS Wolke. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass Internet-Gateways nur mit der autorisierten Amazon Virtual Private Cloud (AmazonVPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zum und vom AmazonVPC, was möglicherweise zu einem unbefugten Zugriff auf VPC Amazon-Ressourcen führen kann. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud durch Sicherstellung AWS Auf Lambda-Funktionen kann nicht öffentlich zugegriffen werden. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Bereitstellen AWS Lambda funktioniert in einer Amazon Virtual Private Cloud (AmazonVPC) für eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des AmazonVPC. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher innerhalb der AWS Wolke. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, AWS Lambda-Funktionen sollten a VPC zugewiesen werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem sichergestellt wird, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewährt wird. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in AWS Cloud, indem nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewährt wird. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr bereitstellen AWS Ressourcen schätzen. Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre AWS Ressourcen schätzen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass auf Buckets von Amazon Simple Storage Service (Amazon S3) nicht öffentlich zugegriffen werden kann. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwaltet den Zugriff auf den AWS Cloud, indem sichergestellt wird, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Verwalte den Zugriff auf Ressourcen in der AWS Cloud, indem sichergestellt wird, dass auf Buckets von Amazon Simple Storage Service (Amazon S3) nicht öffentlich zugegriffen werden kann. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 3.6.4(a)(b) | a) Beschränken Sie den Internetzugang und segmentieren Sie kritische Systeme von der allgemeinen IT-Umgebung. b) Reduzieren Sie die Angriffsfläche und die Schwachstellen. | Stellen Sie sicher AWS Systems Manager (SSM) -Dokumente sind nicht öffentlich, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices für NBC TRMG
