Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Betriebspraktiken für NIST 1800 25
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Mustervorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Dienste den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen NIST 1800-25 und AWS verwalteten Konfigurationsregeln. Jede AWS Config bezieht sich auf eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 1800-25-Steuerelemente. Ein NIST 1800-25-Steuerelement kann sich auf mehrere Regeln beziehen. AWS Config In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
| Steuerelementekennung | Beschreibung der Steuerung | AWSConfig | Anleitung |
|---|---|---|---|
| ID.AM-2 | Softwareplattformen und Anwendungen innerhalb der Organisation werden inventarisiert | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| ID.AM-2 | Softwareplattformen und Anwendungen innerhalb der Organisation werden inventarisiert | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| ID.AM-2 | Softwareplattformen und Anwendungen innerhalb der Organisation werden inventarisiert | Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| ID.AM-2 | Softwareplattformen und Anwendungen innerhalb der Organisation werden inventarisiert | Diese Regel stellt sicher, dass Elastic IPs, die einer Amazon Virtual Private Cloud (Amazon VPC) zugewiesen sind, an Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder verwendete Elastic Network Interfaces angehängt werden. Diese Regel hilft bei der Überwachung ungenutzter EIPs in Ihrer Umgebung. | |
| ID.AM-2 | Softwareplattformen und Anwendungen innerhalb der Organisation werden inventarisiert | Diese Regel stellt sicher, dass die Netzwerkzugriffskontrolllisten von Amazon Virtual Private Cloud (VPC) verwendet werden. Die Überwachung ungenutzter Netzwerkzugriffskontrolllisten kann zu einer genauen Bestandsaufnahme und Verwaltung Ihrer Umgebung beitragen. | |
| ID.RA-1 | Sicherheitslücken in Vermögenswerten werden identifiziert und dokumentiert | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| ID.RA-1 | Sicherheitslücken in Vermögenswerten werden identifiziert und dokumentiert | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| ID.RA-1 | Sicherheitslücken in Vermögenswerten werden identifiziert und dokumentiert | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon Elastic Beanstalk Beanstalk-Umgebung wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert sind. Es ist eine bewährte Methode zur Sicherung von Systemen, sich über die Installation von Patches auf dem Laufenden zu halten. | |
| ID.RA-1 | Sicherheitslücken in Vermögenswerten werden identifiziert und dokumentiert | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Wenn für eine Aufgabendefinition erhöhte Rechte gelten, liegt das daran, dass der Kunde ausdrücklich diesen Konfigurationen zugestimmt hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Geschäft, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Rotation des Zugriffsschlüssels (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der Cloud einzuschränken. AWS Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-1 | Identitäten und Anmeldeinformationen werden für autorisierte Geräte, Benutzer und Prozesse ausgestellt, verwaltet, verifiziert, gesperrt und geprüft | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Geheimnissen kann den Zeitraum, in dem ein Geheimnis aktiv ist, verkürzen und möglicherweise die Auswirkungen auf das Geschäft verringern, wenn das Geheimnis kompromittiert wird. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| PR.AC-3 | Der Fernzugriff wird verwaltet. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Metadaten zu schützen. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instanzmetadaten einzuschränken. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Wenn für eine Aufgabendefinition erhöhte Rechte gelten, liegt das daran, dass der Kunde sich ausdrücklich für diese Konfigurationen entschieden hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| PR.AC-4 | Zugriffsberechtigungen und Autorisierungen werden nach den Grundsätzen der geringsten Rechte und der Aufgabentrennung verwaltet | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| PR.AC-5 | Die Netzwerkintegrität ist geschützt (z. B. Netzwerktrennung, Netzwerksegmentierung) | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWSKMS) verschlüsselt werden müssen. Da vertrauliche Daten in veröffentlichten Nachrichten im Ruhezustand enthalten sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da sensible Daten für die API-Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWSKMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, kann diese Regel dabei helfen, zu überprüfen, ob alle Schlüssel, die gelöscht werden sollen, vorhanden sind, falls ein Schlüssel versehentlich eingeplant wurde. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-1 | D ist geschützt ata-at-rest | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für AWS Secrets Manager aktiviert ist. Da sensible Daten in Secrets Manager Secrets gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-2 | D ist geschützt ata-in-transit | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| PR.DS-6 | Mechanismen zur Integritätsprüfung werden verwendet, um die Integrität von Software, Firmware und Informationen zu überprüfen | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| PR.DS-6 | Mechanismen zur Integritätsprüfung werden verwendet, um die Integrität von Software, Firmware und Informationen zu überprüfen | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| PR.IP-1 | Es wird eine Basiskonfiguration für Informationstechnologie/industrielle Steuerungssysteme erstellt und beibehalten, die Sicherheitsprinzipien (z. B. das Konzept der geringsten Funktionalität) berücksichtigt | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.IP-3 | Prozesse zur Steuerung von Konfigurationsänderungen sind vorhanden | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| PR.IP-3 | Prozesse zur Steuerung von Konfigurationsänderungen sind vorhanden | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Aktivieren Sie diese Regel, um zu überprüfen, ob Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| PR.IP-4 | Datensicherungen werden durchgeführt, verwaltet und getestet | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes in Ihrem Amazon S3 S3-Bucket gespeicherten Objekts aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| PR.IP-9 | Reaktionspläne (Incident Response und Business Continuity) und Wiederherstellungspläne (Incident Recovery und Disaster Recovery) sind vorhanden und werden verwaltet. | response-plan-exists-maintained (Prozessprüfung) | Stellen Sie sicher, dass Pläne zur Reaktion auf Vorfälle erstellt, verwaltet und an das verantwortliche Personal verteilt werden. Aktualisierte und formal dokumentierte Reaktionspläne können dazu beitragen, dass das Einsatzpersonal die Rollen, Verantwortlichkeiten und Prozesse versteht, die bei einem Vorfall einzuhalten sind. |
| PR.IP-10 | Reaktions- und Wiederherstellungspläne werden getestet. | response-plan-tested (Prozessüberprüfung) | Stellen Sie sicher, dass die Reaktions- und Wiederherstellungspläne auf Vorfälle getestet wurden. Dies kann Ihnen helfen zu verstehen, ob Ihr Plan während eines Vorfalls wirksam ist und ob etwaige Lücken oder Aktualisierungen behoben werden müssen. |
| PR.IP-12 | Ein Plan für das Schwachstellenmanagement wird entwickelt und umgesetzt. | vuln-management-plan-exists (Prozessüberprüfung) | Stellen Sie sicher, dass ein Plan für das Schwachstellenmanagement entwickelt und umgesetzt wird, um über formell definierte Prozesse zur Behebung von Sicherheitslücken in Ihrer Umgebung zu verfügen. Dazu können Tools für das Schwachstellenmanagement, die Häufigkeit von Umgebungsscans, Rollen und Verantwortlichkeiten gehören. |
| PR.IP-12 | Ein Plan für das Schwachstellenmanagement wird entwickelt und umgesetzt | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| PR.IP-12 | Ein Plan für das Schwachstellenmanagement wird entwickelt und umgesetzt | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| PR.IP-12 | Ein Plan für das Schwachstellenmanagement wird entwickelt und umgesetzt | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| PR.MA-2 | Die Fernwartung von Unternehmensressourcen wird genehmigt, protokolliert und so durchgeführt, dass unbefugter Zugriff verhindert wird | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| PR.MA-2 | Die Fernwartung von Unternehmensressourcen wird genehmigt, protokolliert und so durchgeführt, dass unbefugter Zugriff verhindert wird | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Sie können diese Klassifizierungen zur Festlegung von Strategien und Prioritäten zur Behebung verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| PR.PT-1 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon RDS-Datenbank-Instances. Wenn der Amazon RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| PR.PT-1 | Die Audit-/Protokollaufzeichnungen werden gemäß den Richtlinien festgelegt, dokumentiert, implementiert und überprüft | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| PR.PT-3 | Das Prinzip der geringsten Funktionalität wird berücksichtigt, indem Systeme so konfiguriert werden, dass sie nur die wesentlichen Funktionen bereitstellen | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| PR.PT-4 | Kommunikations- und Kontrollnetzwerke sind geschützt | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| DE.CM-8 | Sicherheitslückenscans werden durchgeführt. | vuln-scans-performed (Prozessüberprüfung) | Stellen Sie sicher, dass Schwachstellenscans gemäß Ihren Compliance-Anforderungen durchgeführt werden. Die Häufigkeit der Scans, die verwendeten Tools und die Verwendung der Ergebnisse sollten von Ihrem Unternehmen festgelegt werden. |
| RS.MI-3 | Neu identifizierte Sicherheitslücken werden gemindert oder als anerkannte Risiken dokumentiert. | vuln-mitigated-accepted (Prozessüberprüfung) | Stellen Sie sicher, dass neu identifizierte Sicherheitslücken behoben oder als anerkannte Risiken dokumentiert werden. Dienste wie AWS Security Hub, Amazon Guard Duty, Amazon Inspector und AWS Config können Sie bei der Identifizierung von Sicherheitslücken in Ihrer Umgebung unterstützen. Sicherheitslücken sollten entsprechend den Compliance-Anforderungen Ihres Unternehmens behoben oder als Risiken akzeptiert werden. |
| RS.MI-3 | Neu identifizierte Sicherheitslücken werden gemindert oder als anerkannte Risiken dokumentiert | Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Sie können diese Klassifizierungen zur Festlegung von Strategien und Prioritäten zur Behebung verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 1800 25.
