Bewährte Methoden für die Ausführung von NIST 800 172 - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Ausführung von NIST 800 172

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800-172- und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800-172-Steuerelemente. Eine Kontrolle nach NIST 800-172 kann mehreren Konfigurationsregeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

alb-http-drop-invalid-header-enabled

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

alb-http-to-https-redirection-check

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

api-gw-ssl-enabled

Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

elasticsearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

elb-tls-https-listeners-only

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

s3-bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

ebs-snapshot-public-restorable-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

ec2-instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

ec2-instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

lambda-function-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

no-unrestricted-route-to-igw

Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

rds-instance-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

redshift-cluster-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

s3-account-level-public-access-blocks-periodic

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

s3-bucket-level-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

s3-bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

s3-bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

sagemaker-notebook-no-direct-internet-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

subnet-auto-assign-public-ip-disabled

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

vpc-default-security-group-closed

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

autoscaling-launch-config-public-ip-disabled

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

alb-desync-mode-check

Um Anwendungen vor HTTP-Desync-Schwachstellen zu schützen, stellen Sie sicher, dass der HTTP-Desync-Mitigationsmodus auf Ihren Anwendungs-Loadbalancern aktiviert ist. Probleme mit HTTP-Desync können zum Schmuggel von Anfragen führen und Ihre Anwendungen anfällig für Queues- oder Cache-Poisoning machen. Die desynchronen Mitigationsmodi lauten „Überwachen“, „Defensiv“ und „Am strengsten“. Defensive ist der standardmäßige Modus.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

clb-desync-mode-check

Um Anwendungen vor HTTP-Desync-Schwachstellen zu schützen, stellen Sie sicher, dass der HTTP-Desync-Mitigationsmodus auf Ihren Anwendungs-Loadbalancern aktiviert ist. Probleme mit HTTP-Desync können zum Schmuggel von Anfragen führen und Ihre Anwendungen anfällig für Queues- oder Cache-Poisoning machen. Die desynchronen Mitigationsmodi lauten „Überwachen“, „Defensiv“ und „Am strengsten“. Defensive ist der standardmäßige Modus.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

redshift-enhanced-vpc-routing-enabled

Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

elbv2-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

opensearch-node-to-node-encryption-check

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

ec2-token-hop-limit-check

Stellen Sie sicher, dass die HTTP-PUT-Antwort des Instance Metadata Service (IMDS) auf die Amazon Elastic Compute Cloud (Amazon EC2)-Instance eingeschränkt ist. Mit IMDSv2 kann die PUT-Antwort, die standardmäßig das geheime Token enthält, nicht außerhalb der Instance übertragen werden, da das Hop-Limit für Metadaten-Antworten auf 1 festgelegt ist (Standardkonfiguration). Wenn dieser Wert größer als 1 ist, kann das Token die EC2-Instance verlassen.
3.1.3e Setzen Sie [Aufgabe: vom Unternehmen definierte sichere Informationsübertragungslösungen] ein, um den Informationsfluss zwischen Sicherheitsdomänen auf verbundenen Systemen zu kontrollieren.

nacl-no-unrestricted-ssh-rdp

Der Zugriff auf Remotserver-Verwaltungsports in Ihren Netzwerk-Zugriffskontrolllisten (Network Access Control Lists, NACLs), z. B. Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihrer VPC ermöglichen kann.
3.2.1e Durchführung von Sensibilisierungsschulungen [Zuweisung: von der Organisation festgelegte Häufigkeit], die sich auf das Erkennen von und die Reaktion auf Bedrohungen durch Social Engineering, Advanced Persistent Threat Actors, Sicherheitsverletzungen und verdächtiges Verhalten konzentrieren; Aktualisierung der Schulungen [Zuweisung: von der Organisation festgelegte Häufigkeit] oder bei wesentlichen Änderungen der Bedrohung. security-awareness-program-exists (Prozessüberprüfung) Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie die Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können.
3.4.2e Einsatz automatischer Mechanismen, um falsch konfigurierte oder nicht autorisierte Systemkomponenten zu erkennen; nach der Erkennung [Auswahl (eine oder mehrere): die Komponenten entfernen; die Komponenten in ein Quarantäne- oder Abhilfe-Netzwerk stellen], um Patches, Neukonfiguration oder andere Abhilfemaßnahmen zu erleichtern.

ec2-managedinstance-patch-compliance-status-check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
3.4.2e Einsatz automatischer Mechanismen, um falsch konfigurierte oder nicht autorisierte Systemkomponenten zu erkennen; nach der Erkennung [Auswahl (eine oder mehrere): die Komponenten entfernen; die Komponenten in ein Quarantäne- oder Abhilfe-Netzwerk stellen], um Patches, Neukonfiguration oder andere Abhilfemaßnahmen zu erleichtern.

elastic-beanstalk-managed-updates-enabled

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
3.4.2e Einsatz automatischer Mechanismen, um falsch konfigurierte oder nicht autorisierte Systemkomponenten zu erkennen; nach der Erkennung [Auswahl (eine oder mehrere): die Komponenten entfernen; die Komponenten in ein Quarantäne- oder Abhilfe-Netzwerk stellen], um Patches, Neukonfiguration oder andere Abhilfemaßnahmen zu erleichtern.

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.4.2e Einsatz automatischer Mechanismen, um falsch konfigurierte oder nicht autorisierte Systemkomponenten zu erkennen; nach der Erkennung [Auswahl (eine oder mehrere): die Komponenten entfernen; die Komponenten in ein Quarantäne- oder Abhilfe-Netzwerk stellen], um Patches, Neukonfiguration oder andere Abhilfemaßnahmen zu erleichtern.

rds-automatic-minor-version-upgrade-enabled

Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können.
3.4.3e Verwenden Sie automatisierte Erkennungs- und Verwaltungstools, um ein vollständiges up-to-date, genaues und jederzeit verfügbares Inventar der Systemkomponenten zu führen.

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
3.4.3e Verwenden Sie automatisierte Erkennungs- und Verwaltungstools, um ein vollständiges up-to-date, genaues und jederzeit verfügbares Inventar der Systemkomponenten zu führen.

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
3.4.3e Verwenden Sie automatisierte Erkennungs- und Verwaltungstools, um ein vollständiges up-to-date, genaues und jederzeit verfügbares Inventar der Systemkomponenten zu führen.

ec2-volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume beim Löschen der Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
3.4.3e Verwenden Sie automatisierte Erkennungs- und Verwaltungstools, um ein vollständiges up-to-date, genaues und jederzeit verfügbares Inventar der Systemkomponenten zu führen.

eip-attached

Diese Regel stellt sicher, dass Elastic IPs, die einer Amazon Virtual Private Cloud (Amazon VPC) zugeordnet sind, Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances oder in Verwendung befindlichen Elastic-Network-Schnittstellen angehängt werden. Diese Regel unterstützt die Überwachung ungenutzter EIPs in Ihrer Umgebung.
3.4.3e Verwenden Sie automatisierte Erkennungs- und Verwaltungstools, um ein vollständiges up-to-date, genaues und jederzeit verfügbares Inventar der Systemkomponenten zu führen.

vpc-network-acl-unused-check

Diese Regel stellt sicher, dass Amazon Virtual Private Cloud (VPC)-Netzwerkzugriffskontrolllisten verwendet werden. Die Überwachung ungenutzter Netzwerk-Zugriffskontrolllisten kann zu einer genauen Inventarisierung und Verwaltung Ihrer Umgebung beitragen.
3.5.2e Einsatz automatisierter Mechanismen für die Erstellung, den Schutz, die Rotation und die Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontenverwaltung unterstützen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.5.2e Einsatz automatisierter Mechanismen für die Erstellung, den Schutz, die Rotation und die Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontenverwaltung unterstützen.

secretsmanager-rotation-enabled-check

Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird.
3.5.2e Einsatz automatisierter Mechanismen für die Erstellung, den Schutz, die Rotation und die Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontenverwaltung unterstützen.

secretsmanager-scheduled-rotation-success-check

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
3.5.2e Einsatz automatisierter Mechanismen für die Erstellung, den Schutz, die Rotation und die Verwaltung von Passwörtern für Systeme und Systemkomponenten, die keine Multifaktor-Authentifizierung oder komplexe Kontenverwaltung unterstützen.

secretsmanager-scheduled-rotation-success-check

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
3.11.1e Nutzen Sie [Aufgabe: vom Unternehmen definierte Quellen für Bedrohungsinformationen] als Teil einer Risikobeurteilung, um die Entwicklung organisatorischer Systeme, Sicherheitsarchitekturen, die Auswahl von Sicherheitslösungen, die Überwachung, die Suche nach Bedrohungen sowie die Reaktions- und Wiederherstellungsmaßnahmen zu steuern und zu unterstützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
3.11.2e Durchführung von Aktivitäten zur Suche nach Cyberbedrohungen [Auswahl (eine oder mehrere): [Zuordnung: organisationsdefinierte Häufigkeit]; [Zuordnung: organisationsdefiniertes Ereignis]], um in [Aufgabe: organisationsdefinierten Systemen] nach Anzeichen für eine Gefährdung zu suchen und Bedrohungen zu erkennen, zu verfolgen und zu unterbinden, die sich bestehenden Kontrollen entziehen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
3.11.5e Beurteilen Sie auf der Grundlage aktueller und gesammelter Bedrohungsinformationen die Wirksamkeit von Sicherheitslösungen [Aufgabe: von der Organisation festgelegte Häufigkeit], um den erwarteten Risiken für die Unternehmenssysteme und das Unternehmen zu begegnen. annual-risk-assessment-performed (Prozessüberprüfung) Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

ebs-snapshot-public-restorable-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

ec2-instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

ec2-instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

lambda-function-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

rds-instance-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

redshift-cluster-public-access-check

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

s3-account-level-public-access-blocks-periodic

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

s3-bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

s3-bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

sagemaker-notebook-no-direct-internet-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

subnet-auto-assign-public-ip-disabled

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

nacl-no-unrestricted-ssh-rdp

Der Zugriff auf Remotserver-Verwaltungsports in Ihren Netzwerk-Zugriffskontrolllisten (Network Access Control Lists, NACLs), z. B. Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihrer VPC ermöglichen kann.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

s3-bucket-level-public-access-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

autoscaling-launch-config-public-ip-disabled

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

redshift-enhanced-vpc-routing-enabled

Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

vpc-default-security-group-closed

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
3.13.4e Setzen Sie [Auswahl: (eine oder mehrere): [Aufgabe: organisationsdefinierte physische Isolationstechniken]; [Aufgabe: organisationsdefinierte logische Isolationstechniken]] in Organisationssystemen und Systemkomponenten ein.

no-unrestricted-route-to-igw

Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren.
3.14.1e Überprüfen Sie die Integrität von [Aufgabe: vom Unternehmen definierte sicherheitskritische oder unverzichtbare Software] mithilfe von Vertrauenswurzelmechanismen oder kryptografischen Signaturen.

cloud-trail-log-file-validation-enabled

Verwenden Sie die Validierung von AWS CloudTrail Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

cloud-trail-cloud-watch-logs-enabled

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

ec2-instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Amazon Elastic Compute Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
3.14.2e Überwachen Sie organisatorische Systeme und Systemkomponenten laufend auf anormales oder verdächtiges Verhalten.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
3.14.6e Verwendung von Informationen über Bedrohungsindikatoren und wirksame Abhilfemaßnahmen, die von [Zuweisung: vom Unternehmen definierte externe Organisationen] erhalten wurden, um die Erkennung von Eindringlingen und die Suche nach Bedrohungen zu steuern und zu informieren.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
3.14.7e Überprüfen Sie die Richtigkeit von [Zuordnung: organisationsdefinierte sicherheitskritische oder wesentliche Software-, Firmware- und Hardwarekomponenten] mithilfe von [Aufgabe: organisationsdefinierte Überprüfungsmethoden oder -techniken].

ec2-managedinstance-association-compliance-status-check

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
3.14.7e Überprüfen Sie die Richtigkeit von [Zuordnung: organisationsdefinierte sicherheitskritische oder wesentliche Software-, Firmware- und Hardwarekomponenten] mithilfe von [Aufgabe: organisationsdefinierte Überprüfungsmethoden oder -techniken].

ec2-managedinstance-patch-compliance-status-check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
3.14.7e Überprüfen Sie die Richtigkeit von [Zuordnung: organisationsdefinierte sicherheitskritische oder wesentliche Software-, Firmware- und Hardwarekomponenten] mithilfe von [Aufgabe: organisationsdefinierte Überprüfungsmethoden oder -techniken].

ec2-instance-managed-by-systems-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
3.14.7e Überprüfen Sie die Richtigkeit von [Zuordnung: organisationsdefinierte sicherheitskritische oder wesentliche Software-, Firmware- und Hardwarekomponenten] mithilfe von [Aufgabe: organisationsdefinierte Überprüfungsmethoden oder -techniken].

ecs-fargate-latest-platform-version

Sicherheitsupdates und Patches werden automatisch für Ihre AWS Fargate-Aufgaben bereitgestellt. Wenn ein Sicherheitsproblem gefunden wird, das eine AWS Fargate-Plattformversion betrifft, AWS wird die Plattformversion gepatcht. Um Sie bei der Patchverwaltung Ihrer Amazon Elastic Container Service (ECS) -Aufgaben zu unterstützen, auf denen AWS Fargate ausgeführt wird, aktualisieren Sie Ihre eigenständigen Service-Aufgaben, sodass sie die neueste Plattformversion verwenden.
3.14.7e Überprüfen Sie die Richtigkeit von [Zuordnung: organisationsdefinierte sicherheitskritische oder wesentliche Software-, Firmware- und Hardwarekomponenten] mithilfe von [Aufgabe: organisationsdefinierte Überprüfungsmethoden oder -techniken].

ecr-private-image-scanning-enabled

Der Amazon Elastic Container Repository (ECR)-Image-Scan unterstützt die Identifizierung von Software-Schwachstellen in Ihren Container-Images. Durch die Aktivierung von Image-Scans in ECR-Repositorys werden die Integrität und Sicherheit der gespeicherten Images mit einer zusätzlichen Überprüfungsebene verbessert.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800 172.