Bewährte Methoden für die Ausführung von NERC CIP BCSI - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Ausführung von NERC CIP BCSI

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den Critical Infrastructure Protection Standards (NERC CIP) der North American Electric Reliability Corporation für BES Cyber System Information (BCSI), CIP-004-7 und CIP-011-3, und verwalteten Regeln. AWS Config Jede AWS Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NERC-CIP-Kontrollen, die für BCSI gelten. Eine NERC-CIP-Kontrolle kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID Beschreibung der Kontrolle AWS Config Regel Empfehlungen
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und damit verbundene Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

opensearch-access-control-enabled

Stellen Sie sicher, dass eine differenzierte Zugriffskontrolle für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Eine differenzierte Zugriffskontrolle bietet erweiterte Autorisierungsmechanismen, um den Zugriff auf Amazon-Domains mit den geringsten Rechten zu erreichen. OpenSearch Es ermöglicht eine rollenbasierte Zugriffskontrolle auf die Domain sowie Sicherheit auf Index-, Dokument- und Feldebene, Unterstützung für OpenSearch Mehrmandanten-Dashboards und HTTP-Basisauthentifizierung für und Kibana. OpenSearch
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und damit verbundene Rechte und Privilegien, Verschlüsselungsschlüssel umfassen). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

iam-group-has-users-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und damit verbundene Rechte und Privilegien, Verschlüsselungsschlüssel umfassen). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

iam-root-access-key-check

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

iam-user-group-membership-check

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

iam-user-no-policies-check

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist das Ergebnis der spezifischen Maßnahmen, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

s3-bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist als Ergebnis der spezifischen Maßnahmen zu betrachten, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

s3-bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
CIP-004-7-R6 Abschnitt 6.1 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Zugriffsverwaltungsprogramme zur Autorisierung, Überprüfung und Widerrufung des bereitgestellten Zugriffs auf BCSI für die in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – genannten „anwendbaren Systemen“ implementieren, die zusammen alle zutreffenden Anforderungsabschnitte in CIP-004-7 Tabelle R6 – Zugriffsmanagement für BES Cyber System Information – enthalten. Im Rahmen dieser Anforderung bezeichnet Zugang zu BCSI die Fähigkeit einer Person, BCSI zu erhalten und zu nutzen. Der bereitgestellte Zugriff ist als Ergebnis der spezifischen Maßnahmen zu betrachten, die ergriffen wurden, um einer oder mehreren Personen die Möglichkeit zu geben, auf BCSI zuzugreifen (kann beispielsweise physische Schlüssel oder Zugangskarten, Benutzer und zugehörige Rechte und Privilegien, Verschlüsselungsschlüssel beinhalten). Abschnitt 6.1: Erteilen Sie Autorisierungen vor der Bereitstellung (sofern nicht bereits gemäß Abschnitt 4.1 autorisiert) nach Bedarf, wie von der verantwortlichen Stelle festgelegt, mit Ausnahme von CIP unter außergewöhnlichen Umständen: 6.1.1. Bereitgestellter elektronischer Zugriff auf elektronische BCSI

s3-bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

ebs-snapshot-public-restorable-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

lambda-function-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-instance-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

redshift-cluster-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-account-level-public-access-blocks-periodic

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

sagemaker-notebook-no-direct-internet-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

alb-http-drop-invalid-header-enabled

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

alb-http-to-https-redirection-check

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

api-gw-cache-enabled-and-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

cmk-backing-key-rotation-enabled

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Kryptoperiode erreicht haben.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

ec2-ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

ecr-private-image-scanning-enabled

Der Amazon Elastic Container Repository (ECR)-Image-Scan unterstützt die Identifizierung von Software-Schwachstellen in Ihren Container-Images. Durch die Aktivierung von Image-Scans in ECR-Repositorys werden die Integrität und Sicherheit der gespeicherten Images mit einer zusätzlichen Überprüfungsebene verbessert.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

ecr-private-tag-immutability-enabled

Aktivieren Sie die Unveränderlichkeit von Tags im Elastic Container Repository (ECR), um zu verhindern, dass Image-Tags in Ihren ECR-Images überschrieben werden. Bisher konnten Tags überschrieben werden, was manuelle Methoden zur eindeutigen Identifizierung eines Images erforderte.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

elasticsearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

elb-tls-https-listeners-only

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

kms-cmk-not-scheduled-for-deletion

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-audit-logging-enabled

Stellen Sie sicher, dass die Audit-Protokollierung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Mit der Audit-Protokollierung können Sie Benutzeraktivitäten auf Ihren OpenSearch Domains verfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

opensearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

redshift-audit-logging-enabled

Um Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Amazon-Redshift-Cluster zu erfassen, stellen Sie sicher, dass die Prüfprotokollierung aktiviert ist.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-bucket-server-side-encryption-enabled

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

sagemaker-endpoint-configuration-kms-key-configured

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

sagemaker-notebook-instance-kms-key-configured

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-cluster-default-admin-check

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Datenbankcluster von Amazon Relational Database Service (Amazon RDS) zu reduzieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

rds-instance-default-admin-check

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Datenbank-Instance(s) in Amazon Relational Database Service (Amazon RDS) zu reduzieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

redshift-default-admin-check

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon-Redshift-Cluster zu reduzieren.
CIP-011-3-R1 Abschnitt 1.2 Jede verantwortliche Stelle muss ein oder mehrere dokumentierte Informationsschutzprogramme implementieren, die zusammen alle anwendbaren Anforderungsabschnitte in CIP-011-3, Tabelle R1 – Informationsschutz – enthalten. Abschnitt 1.2: Methode(n) zum Schutz und zur sicheren Handhabung von BCSI, um das Risiko einer Gefährdung der Vertraulichkeit zu minimieren.

s3-bucket-acl-prohibited

Diese Regel prüft, ob Zugriffssteuerungslisten (ACLs, Access Control Lists) für die Zugriffskontrolle bei Amazon-S3-Buckets verwendet werden. ACLs sind veraltete Zugriffskontrollmechanismen für Amazon S3 S3-Buckets, die älter sind als AWS Identity and Access Management (IAM). Anstelle von ACLs empfiehlt es sich, IAM-Richtlinien oder S3-Bucket-Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets einfacher zu verwalten.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NERC CIP BCSI.