Bewährte Methoden für die Implementierung des Cyber Assessment Framework des NCSC - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Implementierung des Cyber Assessment Framework des NCSC

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den Steuerelementen des Cyber Assessment Framework (CAF) des UK National Cyber Security Centre (NCSC) und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere UK NCSC CAF-Steuerungen. Eine CAF-Kontrolle des britischen NCSC kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Diese beispielhafte Conformance-Pack-Vorlage enthält Zuordnungen zu CAF-Kontrollen des britischen NCSC (National Cyber Security Centre | NCSC CAF-Richtlinien), wobei diese Informationen des öffentlichen Sektors unter der Open Government Licence v3.0 lizenziert sind. Der Zugriff auf die Open Government License ist hier möglich: Open Government Licence für Informationen des öffentlichen Sektors.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
A3.a Ressourcenverwaltung  Alle für die Bereitstellung, Wartung oder Unterstützung von Netzwerken und Informationssystemen erforderlichen Ressourcen, die für den Betrieb wesentlicher Funktionen notwendig sind, müssen festgelegt und bekannt sein. Dazu gehören Daten, Personen und Systeme sowie unterstützende Infrastruktur (wie Stromversorgung oder Kühlung).

vpc-network-acl-unused-check

Diese Regel stellt sicher, dass Amazon Virtual Private Cloud (VPC)-Netzwerkzugriffskontrolllisten verwendet werden. Die Überwachung ungenutzter Netzwerkzugriffskontrolllisten kann zu einer genauen Inventarisierung und Verwaltung Ihrer Umgebung beitragen.
A3.a Ressourcenverwaltung  Alle für die Bereitstellung, Wartung oder Unterstützung von Netzwerken und Informationssystemen erforderlichen Ressourcen, die für den Betrieb wesentlicher Funktionen notwendig sind, müssen festgelegt und bekannt sein. Dazu gehören Daten, Personen und Systeme sowie unterstützende Infrastruktur (wie Stromversorgung oder Kühlung).

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
A3.a Ressourcenverwaltung  Alle für die Bereitstellung, Wartung oder Unterstützung von Netzwerken und Informationssystemen erforderlichen Ressourcen, die für den Betrieb wesentlicher Funktionen notwendig sind, müssen festgelegt und bekannt sein. Dazu gehören Daten, Personen und Systeme sowie unterstützende Infrastruktur (wie Stromversorgung oder Kühlung).

ec2-stopped-instance

Aktivieren Sie diese Regel, um die Basiskonfiguration von Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances zu unterstützen, indem Sie überprüfen, ob Amazon-EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
A3.a Ressourcenverwaltung  Alle für die Bereitstellung, Wartung oder Unterstützung von Netzwerken und Informationssystemen erforderlichen Ressourcen, die für den Betrieb wesentlicher Funktionen notwendig sind, müssen festgelegt und bekannt sein. Dazu gehören Daten, Personen und Systeme sowie unterstützende Infrastruktur (wie Stromversorgung oder Kühlung).

ec2-volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
A3.a Ressourcenverwaltung  Alle für die Bereitstellung, Wartung oder Unterstützung von Netzwerken und Informationssystemen erforderlichen Ressourcen, die für den Betrieb wesentlicher Funktionen notwendig sind, müssen festgelegt und bekannt sein. Dazu gehören Daten, Personen und Systeme sowie unterstützende Infrastruktur (wie Stromversorgung oder Kühlung).

eip-attached

Diese Regel stellt sicher, dass Elastic IPs, die einer Amazon Virtual Private Cloud (Amazon VPC) zugeordnet sind, Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances oder in Verwendung befindlichen Elastic-Network-Schnittstellen angehängt werden. Diese Regel unterstützt die Überwachung ungenutzter EIPs in Ihrer Umgebung.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-no-inline-policy-check

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

mfa-enabled-for-iam-console-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

root-account-hardware-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-root-access-key-check

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-no-policies-check

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

opensearch-access-control-enabled

Stellen Sie sicher, dass eine differenzierte Zugriffskontrolle für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Eine differenzierte Zugriffskontrolle bietet erweiterte Autorisierungsmechanismen, um den Zugriff auf Amazon Service-Domains mit den geringsten Rechten zu erreichen. OpenSearch Es ermöglicht eine rollenbasierte Zugriffskontrolle auf die Domain sowie Sicherheit auf Index-, Dokument- und Feldebene, Unterstützung für OpenSearch Service-Dashboards, Mehrmandantenfähigkeit und HTTP-Basisauthentifizierung für Service und Kibana. OpenSearch
B2.a Identitätsprüfung, Authentifizierung und Autorisierung  Sie verifizieren, authentifizieren und autorisieren zuverlässig den Zugriff auf die Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
B2.b Gerätemanagement  Sie kennen die Geräte, die für den Zugriff auf Ihre Netzwerke, Informationssysteme und Daten verwendet werden, die grundlegende Funktionen unterstützen, und vertrauen ihnen voll und ganz. 

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
B2.b Gerätemanagement  Sie kennen die Geräte, die für den Zugriff auf Ihre Netzwerke, Informationssysteme und Daten verwendet werden, die grundlegende Funktionen unterstützen, und vertrauen ihnen voll und ganz. 

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

codebuild-project-environment-privileged-check

Um die Implementierung des Prinzips der geringsten Rechte zu unterstützen, stellen Sie sicher, dass in Ihrer CodeBuild Amazon-Projektumgebung der privilegierte Modus nicht aktiviert ist. Diese Einstellung sollte deaktiviert werden, um unbeabsichtigten Zugriff auf Docker-APIs sowie auf die dem Container zugrunde liegende Hardware zu verhindern.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

ec2-instance-profile-attached

EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

ecs-containers-nonprivileged

Um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen, dürfen in Amazon Elastic Container Service (Amazon ECS)-Aufgabendefinitionen keine erhöhten Berechtigungen aktiviert sein. Wenn dieser Parameter den Wert „true“ aufweist, erhält der Container erhöhte Berechtigungen auf der Host-Container-Instance (ähnlich wie der Root-Benutzer).
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

ecs-task-definition-nonroot-user

Sie bestimmen einen Nicht-Root-Benutzer für den Zugriff auf Ihre Aufgabendefinitionen des Amazon Elastic Container Service (Amazon ECS), um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

efs-access-point-enforce-user-identity

Um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen, stellen Sie sicher, dass die Benutzererzwingung für Ihr Amazon Elastic File System (Amazon EFS) aktiviert ist. Wenn diese Option aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppen-IDs des NFS-Clients durch die Identität, die auf dem Zugangspunkt für alle Dateisystemoperationen konfiguriert ist, und gewährt nur Zugriff auf diese erzwungene Benutzeridentität.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

secretsmanager-secret-unused

Wenn in AWS Secrets Manager unbenutzte Anmeldeinformationen vorhanden sind, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen kann. Mit dieser Regel können Sie einen Wert auf unusedForDays (Config Default: 90) setzen. Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

mfa-enabled-for-iam-console-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

root-account-hardware-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-root-access-key-check

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
B2.c Verwaltung privilegierter Benutzer  Sie verwalten zuverlässig den Zugriff privilegierter Benutzer auf Netzwerke und Informationssysteme, die grundlegende Funktionen unterstützen. 

iam-no-inline-policy-check

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-group-has-users-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-no-inline-policy-check

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-user-group-membership-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

cloud-trail-cloud-watch-logs-enabled

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
B2.d Identity and Access Management (IAM)  Sie gewährleisten eine angemessene Verwaltung und Wartung der Identitäts- und Zugriffskontrolle für Ihre Netzwerke und Informationssysteme, die wesentliche Funktionen unterstützen. 

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
B3.a Datenkenntnis  Sie wissen, welche Daten für den Betrieb wesentlicher Funktionen wichtig sind, wo sie gespeichert sind, wohin sie übertragen werden und wie sich deren Nichtverfügbarkeit oder unbefugter Zugriff, Änderung oder Löschung nachteilig auf wesentliche Funktionen auswirken würden. Gleiches gilt auch für Dritte, die für den Betrieb wesentlicher Funktionen wichtige Daten speichern oder darauf zugreifen. 

ec2-volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

alb-http-drop-invalid-header-enabled

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

alb-http-to-https-redirection-check

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elasticsearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elb-tls-https-listeners-only

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

s3-bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

ec2-instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

ec2-instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

internet-gateway-authorized-vpc-only

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

rds-instance-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

redshift-cluster-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

sagemaker-notebook-no-direct-internet-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

vpc-default-security-group-closed

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

autoscaling-group-elb-healthcheck-required

Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elb-cross-zone-load-balancing-enabled

Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

api-gw-cache-enabled-and-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

opensearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B3.b Daten während der Übertragung  Sie haben die Übertragung von für wesentliche Funktionen wichtigen Daten geschützt, einschließlich der Übertragung von Daten an Dritte.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

ec2-ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

s3-bucket-server-side-encryption-enabled

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

sagemaker-endpoint-configuration-kms-key-configured

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

sagemaker-notebook-instance-kms-key-configured

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

cmk-backing-key-rotation-enabled

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

kms-cmk-not-scheduled-for-deletion

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

elasticache-redis-cluster-automatic-backup-check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

s3-bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

rds-instance-deletion-protection-enabled

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

s3-bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
B3.c Gespeicherte Daten  Sie haben gespeicherte Daten, die für den Betrieb wesentlicher Funktionen wichtig sind, geschützt. 

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

alb-http-drop-invalid-header-enabled

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

alb-http-to-https-redirection-check

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

ebs-snapshot-public-restorable-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

ec2-instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

elb-tls-https-listeners-only

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

ec2-instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

internet-gateway-authorized-vpc-only

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

lambda-function-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

rds-instance-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

redshift-cluster-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

s3-account-level-public-access-blocks-periodic

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

s3-bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

s3-bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

sagemaker-notebook-no-direct-internet-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

vpc-default-security-group-closed

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

autoscaling-group-elb-healthcheck-required

Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

elb-cross-zone-load-balancing-enabled

Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

lambda-concurrency-check

Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

rds-instance-deletion-protection-enabled

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

s3-bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
B4.a Secure by Design  Sie integrieren Sicherheit in die Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. Sie minimieren deren Angriffsfläche und stellen sicher, dass der Betrieb wesentlicher Funktionen nicht durch die Ausnutzung einzelner Schwachstellen beeinträchtigt wird.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
B4.b Sichere Konfiguration  Sie sorgen für eine sichere Konfigurierung der Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. 

ec2-managedinstance-association-compliance-status-check

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
B4.b Sichere Konfiguration  Sie sorgen für eine sichere Konfigurierung der Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. 

ec2-managedinstance-patch-compliance-status-check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
B4.b Sichere Konfiguration  Sie sorgen für eine sichere Konfigurierung der Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. 

ec2-imdsv2-check

Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
B4.b Sichere Konfiguration  Sie sorgen für eine sichere Konfigurierung der Netzwerk- und Informationssysteme, die den Betrieb wesentlicher Funktionen unterstützen. 

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B4.c Sichere Verwaltung  Sie verwalten die Netzwerk- und Informationssysteme Ihrer Organisation, die den Betrieb wesentlicher Funktionen unterstützen, um die Sicherheit zu gewährleisten und aufrechtzuerhalten. 

ec2-managedinstance-patch-compliance-status-check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
B4.c Sichere Verwaltung  Sie verwalten die Netzwerk- und Informationssysteme Ihrer Organisation, die den Betrieb wesentlicher Funktionen unterstützen, um die Sicherheit zu gewährleisten und aufrechtzuerhalten. 

ec2-imdsv2-check

Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
B4.c Sichere Verwaltung  Sie verwalten die Netzwerk- und Informationssysteme Ihrer Organisation, die den Betrieb wesentlicher Funktionen unterstützen, um die Sicherheit zu gewährleisten und aufrechtzuerhalten. 

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

ec2-managedinstance-association-compliance-status-check

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

ec2-managedinstance-patch-compliance-status-check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

ec2-imdsv2-check

Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
B4.d. Management von Schwachstellen  Sie adressieren bekannte Schwachstellen in Ihren Netzwerk- und Informationssystemen, um negative Auswirkungen auf wesentliche Funktionen zu verhindern. 

vpc-vpn-2-tunnels-up

Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist.
B5.b Robustes Design  Sie entwerfen Netzwerk- und Informationssysteme, die wesentliche Funktionen unterstützen, im Hinblick auf deren Widerstandsfähigkeit gegenüber Cybersicherheitsvorfällen. Die Systeme werden angemessen segmentiert und Ressourcenbeschränkungen werden gemindert. 

elb-cross-zone-load-balancing-enabled

Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
B5.b Robustes Design  Sie entwerfen Netzwerk- und Informationssysteme, die wesentliche Funktionen unterstützen, im Hinblick auf deren Widerstandsfähigkeit gegenüber Cybersicherheitsvorfällen. Die Systeme werden angemessen segmentiert und Ressourcenbeschränkungen werden gemindert. 

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
B5.b Robustes Design  Sie entwerfen Netzwerk- und Informationssysteme, die wesentliche Funktionen unterstützen, im Hinblick auf deren Widerstandsfähigkeit gegenüber Cybersicherheitsvorfällen. Die Systeme werden angemessen segmentiert und Ressourcenbeschränkungen werden gemindert. 

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

elasticache-redis-cluster-automatic-backup-check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

s3-bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
B5.c Backups  Sie verfügen über zugängliche und gesicherte aktuelle Backups von Daten und Informationen, die für die Wiederherstellung des Betriebs wesentlichen Funktionen erforderlich sind. 

autoscaling-group-elb-healthcheck-required

Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

cloud-trail-cloud-watch-logs-enabled

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

ec2-instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

lambda-concurrency-check

Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

lambda-dlq-check

Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon-RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
C1.a Überwachungsabdeckung In Ihre Überwachung einbezogene Datenquellen ermöglichen die rechtzeitige Identifizierung von Sicherheitsereignissen, die den Betrieb wesentlicher Funktionen beeinträchtigen könnten.

s3-bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

s3-bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

s3-bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

s3-bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

s3-bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

iam-no-inline-policy-check

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

iam-user-no-policies-check

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
C1.b Sicherung von Protokollen Sie speichern die Protokolldaten sicher und gewähren Lesezugriff nur Konten, die diesen für geschäftliche Zwecke benötigen. Mitarbeiter sollten jemals Protokolldaten innerhalb einer vereinbarten Aufbewahrungsfrist ändern oder löschen müssen. Erst nach Ablauf dieser Frist sollten sie gelöscht werden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

s3-event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

api-gw-execution-logging-enabled

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

cloud-trail-cloud-watch-logs-enabled

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

cw-loggroup-retention-period-check

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

s3-bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
C1.c Generierung von Warnungen In Ihren Überwachungsdaten enthaltene Hinweise auf potenzielle Sicherheitsvorfälle werden zuverlässig identifiziert und lösen Warnen aus.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
C1.d Identifizierung von Sicherheitsvorfällen Sie stellen Warnungen mit Informationen über Bedrohungen und Ihre Systeme in Kontext, um die Sicherheitsvorfälle zu identifizieren, die irgendeine Form von Reaktion erfordern.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
C1.d Identifizierung von Sicherheitsvorfällen Sie stellen Warnungen mit Informationen über Bedrohungen und Ihre Systeme in Kontext, um die Sicherheitsvorfälle zu identifizieren, die irgendeine Form von Reaktion erfordern.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
C1.e Überwachung von Tools und Fähigkeiten Bei der Überwachung der Fähigkeiten, Tools und Rollen der Mitarbeiter, einschließlich ausgelagerter Funktionen, sollten Governance- und Berichtsanforderungen, erwartbare Bedrohungen sowie die Komplexität der benötigten Netzwerk- oder Systemdaten berücksichtigt werden. Das Überwachungspersonal kennt die wesentlichen Funktionen, die es schützen muss.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
C1.e Überwachung von Tools und Fähigkeiten Bei der Überwachung der Fähigkeiten, Tools und Rollen der Mitarbeiter, einschließlich ausgelagerter Funktionen, sollten Governance- und Berichtsanforderungen, erwartbare Bedrohungen sowie die Komplexität der benötigten Netzwerk- oder Systemdaten berücksichtigt werden. Das Überwachungspersonal kennt die wesentlichen Funktionen, die es schützen muss.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
C1.e Überwachung von Tools und Fähigkeiten Bei der Überwachung der Fähigkeiten, Tools und Rollen der Mitarbeiter, einschließlich ausgelagerter Funktionen, sollten Governance- und Berichtsanforderungen, erwartbare Bedrohungen sowie die Komplexität der benötigten Netzwerk- oder Systemdaten berücksichtigt werden. Das Überwachungspersonal kennt die wesentlichen Funktionen, die es schützen muss.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
C2.a Systemanomalien zur Erkennung von Angriffen Sie definieren Beispiele für ungewöhnliches Systemverhalten, die praktische Methoden zur Erkennung schädlicher Aktivitäten enthalten, die ansonsten schwer zu identifizieren sind.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
C2.a Systemanomalien zur Erkennung von Angriffen Sie definieren Beispiele für ungewöhnliches Systemverhalten, die praktische Methoden zur Erkennung schädlicher Aktivitäten enthalten, die ansonsten schwer zu identifizieren sind.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
D1.c Tests und Übungen Ihre Organisation führt Übungen durch, um Reaktionspläne zu testen. Dabei werden Vorfälle aus der Vergangenheit verwendet, von denen Ihre (und andere) Organisationen betroffen waren, sowie Szenarien, die sich auf Bedrohungsinformationen und Ihre Risikobewertung stützen. response-plan-exists-maintained (Prozessüberprüfung) Stellen Sie sicher, dass Vorfallreaktionspläne erstellt, verwaltet und an das verantwortliche Personal verteilt werden. Aktualisierte und formal dokumentierte Reaktionspläne können dazu beitragen, dass das zuständige Personal die Rollen, Verantwortlichkeiten und Prozesse versteht, die bei einem Vorfall einzuhalten sind.
D1.c Tests und Übungen Ihre Organisation führt Übungen durch, um Reaktionspläne zu testen. Dabei werden Vorfälle aus der Vergangenheit verwendet, von denen Ihre (und andere) Organisationen betroffen waren, sowie Szenarien, die sich auf Bedrohungsinformationen und Ihre Risikobewertung stützen. response-plan-tested (Prozessüberprüfung) Stellen Sie sicher, dass die Vorfallreaktions- und Wiederherstellungspläne getestet wurden. Dies kann Ihnen helfen zu verstehen, ob Ihr Plan bei einem Vorfall wirksam ist und ob etwaige Lücken behoben oder Aktualisierungen vorgenommen werden müssen.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NCSC Cyber Assesment Framework.