Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Betriebspraktiken für NIST 800 181
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Mustervorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Dienste den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800 181- und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800 181-Steuerelemente. Ein NIST 800 181-Steuerelement kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
| Steuerelementekennung | Beschreibung der Steuerung | AWSConfig | Anleitung |
|---|---|---|---|
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist so konzipiert, dass sie äußerst zuverlässig ist. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da sensible Daten für die API-Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Krypto-Periode erreicht haben. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWSKMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, kann diese Regel dabei helfen, zu überprüfen, ob alle Schlüssel, die gelöscht werden sollen, vorhanden sind, falls ein Schlüssel versehentlich eingeplant wurde. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist so konzipiert, dass sie äußerst zuverlässig ist. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes Objekts, das in Ihrem Amazon S3 S3-Bucket gespeichert ist, aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0024 | Sammeln und verwalten Sie Daten, die für die Berichterstattung zur Systemsicherheit erforderlich sind. | Stellen Sie sicher, dass eine Mindestdauer der Ereignisprotokolldaten für Ihre Protokollgruppen aufbewahrt wird, um bei der Fehlerbehebung und bei forensischen Untersuchungen zu helfen. Das Fehlen verfügbarer Daten aus dem Protokoll vergangener Ereignisse macht es schwierig, potenziell bösartige Ereignisse zu rekonstruieren und zu identifizieren. | |
| T0042 | Koordinieren Sie sich mit Cyber Defense Analysts, um die Aktualisierung von Regeln und Signaturen (z. B. Systeme zur Erkennung und zum Schutz vor Eindringlingen, Virenschutz und Inhalts-Blacklists) für spezielle Cyberabwehranwendungen zu verwalten und zu verwalten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0047 | Korrelieren Sie Daten zu Vorfällen, um spezifische Sicherheitslücken zu identifizieren und Empfehlungen abzugeben, die eine schnelle Behebung ermöglichen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf höchste Zuverlässigkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes Objekts, das in Ihrem Amazon S3 S3-Bucket gespeichert ist, aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0051 | Definieren Sie auf der Grundlage kritischer Systemfunktionen ein angemessenes Maß an Systemverfügbarkeit und stellen Sie sicher, dass in den Systemanforderungen angemessene Anforderungen für die Notfallwiederherstellung und die Kontinuität des Betriebs festgelegt werden, einschließlich aller geeigneten Anforderungen für Failover/alternative Standorte, Backup-Anforderungen und Anforderungen an die Materialunterstützung für die Systemwiederherstellung/-wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf höchste Zuverlässigkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes Objekts, das in Ihrem Amazon S3 S3-Bucket gespeichert ist, aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Load Balancing reduziert die Notwendigkeit, eine äquivalente Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instanzen zu bewältigen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf höchste Zuverlässigkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes Objekts, das in Ihrem Amazon S3 S3-Bucket gespeichert ist, aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon Elastic Beanstalk Beanstalk-Umgebung wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert sind. Es ist eine bewährte Methode zur Sicherung von Systemen, sich über die Installation von Patches auf dem Laufenden zu halten. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon Elastic Beanstalk Beanstalk-Umgebung wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert sind. Es ist eine bewährte Methode zur Sicherung von Systemen, sich über die Installation von Patches auf dem Laufenden zu halten. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Wenn für eine Aufgabendefinition erweiterte Rechte gelten, liegt das daran, dass der Kunde ausdrücklich diesen Konfigurationen zugestimmt hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Geschäft, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Rotation des Zugriffsschlüssels (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Geheimnissen kann den Zeitraum verkürzen, in dem ein Geheimnis aktiv ist, und möglicherweise die Auswirkungen auf das Geschäft verringern, wenn das Geheimnis kompromittiert wird. | |
| T0144 | Verwalten Sie Konten, Netzwerkrechte und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon RDS-Datenbank-Instances. Wenn der Amazon RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass für Amazon Relational Database Service (Amazon RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf höchste Zuverlässigkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten Sie Datenbanken, um eine optimale Leistung sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0153 | Überwachen Sie die Netzwerkkapazität und -leistung. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand von Amazon EC2 EC2-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Datenverkehr an eine neue Amazon EC2 EC2-Instance gesendet. | |
| T0153 | Überwachen Sie die Netzwerkkapazität und -leistung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0153 | Überwachen Sie die Netzwerkkapazität und -leistung. | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0153 | Überwachen Sie die Netzwerkkapazität und -leistung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site-VPN-Verbindung zu Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Stellen Sie sicher, dass eine Mindestdauer der Ereignisprotokolldaten für Ihre Protokollgruppen aufbewahrt wird, um bei der Fehlerbehebung und bei forensischen Untersuchungen zu helfen. Das Fehlen verfügbarer Daten aus dem Protokoll vergangener Ereignisse macht es schwierig, potenziell bösartige Ereignisse zu rekonstruieren und zu identifizieren. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Parallelität einer Lambda-Funktion festgelegt werden. Dies kann dabei helfen, die Anzahl der Anfragen, die Ihre Funktion zu einem bestimmten Zeitpunkt bearbeitet, als Grundlage festzulegen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon RDS-Datenbank-Instances. Wenn der Amazon RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand von Amazon EC2 EC2-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Datenverkehr an eine neue Amazon EC2 EC2-Instance gesendet. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | AWSDie verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Gesundheitsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Aktivieren Sie diese Regel, um die Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Überwachung auf der Amazon EC2-Konsole zu verbessern, in der Überwachungsdiagramme mit einem Zeitraum von 1 Minute für die Instance angezeigt werden. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| T0154 | Überwachen Sie die Nutzung von Ressourcen und Ressourcen im Wissensmanagement und erstellen Sie entsprechende Berichte. | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon Elastic Beanstalk Beanstalk-Umgebung wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert sind. Es ist eine bewährte Methode zur Sicherung von Systemen, sich über die Installation von Patches auf dem Laufenden zu halten. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0156 | Beaufsichtigen Sie das Konfigurationsmanagement und geben Sie Empfehlungen dazu ab. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0160 | Patchen Sie Netzwerkschwachstellen, um sicherzustellen, dass Informationen vor Dritten geschützt sind. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0160 | Patchen Sie Netzwerkschwachstellen, um sicherzustellen, dass Informationen vor Dritten geschützt sind. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0160 | Patchen Sie Netzwerkschwachstellen, um sicherzustellen, dass Informationen vor Dritten geschützt sind. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Redshift Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift regelmäßig Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB pro Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt, einen Snapshot. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert sollte den Anforderungen Ihrer Organisation entsprechen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Das System ermöglicht es Ihnen, spezifische Aufbewahrungsfristen festzulegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Backup-Management und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Backup-Compliance-Anforderungen zu erfüllen. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Das Backup kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Sicherungen helfen gegen Datenverlust. Wenn ein Fehler auftritt, können Sie einen neuen Cluster erstellen, der Ihre Daten aus der letzten Sicherung wiederherstellt. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird. | |
| T0162 | Führen Sie eine Sicherung und Wiederherstellung von Datenbanken durch, um die Datenintegrität sicherzustellen. | Die Bucket-Versionierung von Amazon Simple Storage Service (Amazon S3) hilft dabei, mehrere Varianten eines Objekts im selben Amazon S3 S3-Bucket zu speichern. Verwenden Sie die Versionierung, um jede Version jedes Objekts, das in Ihrem Amazon S3 S3-Bucket gespeichert ist, aufzubewahren, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der einfachen Wiederherstellung nach unbeabsichtigten Benutzeraktionen und Anwendungsausfällen. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Stellen Sie sicher, dass eine Mindestdauer der Ereignisprotokolldaten für Ihre Protokollgruppen aufbewahrt wird, um bei der Fehlerbehebung und bei forensischen Untersuchungen zu helfen. Das Fehlen verfügbarer Daten aus dem Protokoll vergangener Ereignisse macht es schwierig, potenziell bösartige Ereignisse zu rekonstruieren und zu identifizieren. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| T0166 | Korrelieren Sie Ereignisse anhand von Informationen aus einer Vielzahl von Quellen innerhalb des Unternehmens, um sich ein Bild von der Situation zu machen und die Effektivität eines beobachteten Angriffs zu ermitteln. | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0168 | Führen Sie einen Hash-Vergleich mit der etablierten Datenbank durch. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0215 | Erkennen Sie eine mögliche Sicherheitsverletzung und ergreifen Sie gegebenenfalls geeignete Maßnahmen, um den Vorfall zu melden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0258 | Sorgen Sie für die rechtzeitige Erkennung und Identifizierung möglicher Angriffe/Eingriffe, anomaler Aktivitäten und missbräuchlicher Aktivitäten und unterscheiden Sie diese Vorfälle und Ereignisse von harmlosen Aktivitäten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0259 | Verwenden Sie Tools zur Cyberabwehr zur kontinuierlichen Überwachung und Analyse der Systemaktivitäten, um böswillige Aktivitäten zu identifizieren. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Durch die zentrale Verwaltung von AWS Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Das Fehlen einer zentralen Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Wenn für eine Aufgabendefinition erweiterte Rechte gelten, liegt das daran, dass der Kunde sich ausdrücklich für diese Konfigurationen entschieden hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0284 | Entwerfen und entwickeln Sie neue Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Aktivieren Sie automatische Nebenversions-Upgrades auf Ihren Amazon Relational Database Service (RDS) -Instances, um sicherzustellen, dass die neuesten Updates für Nebenversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu verhindern. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht im Klartext. Das Speichern dieser Variablen im Klartext führt zu unbeabsichtigter Offenlegung von Daten und unberechtigtem Zugriff. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Diese Regel stellt sicher, dass Amazon Redshift Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere, dass sie bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist "true". Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0284 | Entwurf und Entwicklung neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Diese Regel stellt sicher, dass bei Elastic Load Balancing der Löschschutz aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0333 | Führen Sie Trendanalysen und Berichte zur Cyberabwehr durch. | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0333 | Führen Sie Trendanalysen und Berichte zur Cyberabwehr durch. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0347 | Beurteilen Sie die Gültigkeit der Quelldaten und der nachfolgenden Ergebnisse. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Wenn für eine Aufgabendefinition erweiterte Rechte gelten, liegt das daran, dass sich der Kunde ausdrücklich für diese Konfigurationen entschieden hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und nicht abgelaufen sein. Diese Regel erfordert einen Wert für daysToExpiration (Wert für die bewährten Methoden von AWS Foundational Security: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit öffentlichem Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Funktionen zur Zertifikatsverwaltung und Verschlüsselung integrieren. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0421 | Verwaltet die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Wenn für eine Aufgabendefinition erhöhte Rechte gelten, liegt das daran, dass sich der Kunde ausdrücklich für diese Konfigurationen entschieden hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| T0489 | Implementieren Sie Systemsicherheitsmaßnahmen gemäß den festgelegten Verfahren, um Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten. | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0491 | Installieren und konfigurieren Sie Hardware, Software und Peripheriegeräte für Systembenutzer gemäß den organisatorischen Standards. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0491 | Installieren und konfigurieren Sie Hardware, Software und Peripheriegeräte für Systembenutzer gemäß den organisatorischen Standards. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0491 | Installieren und konfigurieren Sie Hardware, Software und Peripheriegeräte für Systembenutzer gemäß den organisatorischen Standards. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0503 | Überwachen Sie externe Datenquellen (z. B. Websites von Anbietern von Cyberabwehr, Computer Emergency Response Teams, Security Focus), um stets auf dem neuesten Stand der Cyberabwehr zu sein und festzustellen, welche Sicherheitsprobleme sich auf das Unternehmen auswirken könnten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0509 | Führen Sie eine Bewertung des Informationssicherheitsrisikos durch. | annual-risk-assessment-performed (Prozessüberprüfung) | Führen Sie eine jährliche Risikobewertung für Ihr Unternehmen durch. Risikobeurteilungen können dabei helfen, die Wahrscheinlichkeit und die Auswirkungen identifizierter Risiken und/oder Sicherheitslücken, die ein Unternehmen betreffen, zu ermitteln. |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon Elasticsearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon Elasticsearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 S3-Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da sensible Daten für die API-Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten bei der Übertragung zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Elastic Load Balancing aktiviert ist. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS) -Instances aktiviert ist. Da sensible Daten in Amazon RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWSKMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Da sensible Daten in Redshift-Clustern gespeichert werden können, sollten Sie Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster TLS/SSL-Verschlüsselung benötigen, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten existieren können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets aktiviert ist. Da sensible Daten in Amazon S3 S3-Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWSKMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0557 | Integrieren Sie wichtige Verwaltungsfunktionen im Zusammenhang mit dem Cyberspace. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Krypto-Periode erreicht haben. | |
| T0557 | Integrieren Sie wichtige Verwaltungsfunktionen im Zusammenhang mit dem Cyberspace. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWSKMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, kann diese Regel dabei helfen, zu überprüfen, ob alle Schlüssel, die gelöscht werden sollen, vorhanden sind, falls ein Schlüssel versehentlich eingeplant wurde. | |
| T0576 | Analysieren Sie Informationen aus allen Quellen und empfehlen Sie Ziele zur Unterstützung der Ziele von Cyberoperationen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF trägt dazu bei, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | AWSMit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon API Gateway Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon EC2 EC2-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon EMR-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 zu Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Fernzugriff einschränken. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS-Cloud geschützt. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Weisen Sie Amazon EC2 EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise zu einer Verschlechterung der Verfügbarkeit von Ressourcen führen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung verfügen Domains, die sich innerhalb einer Amazon VPC befinden, über eine zusätzliche Sicherheitsebene im Vergleich zu Domains, die öffentliche Endpunkte verwenden. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Stellen Sie sicher, dass Amazon EC2 EC2-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway haben. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann den unbeabsichtigten Zugriff in Ihrer Umgebung reduzieren. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon RDS-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon Redshift Redshift-Cluster können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Durch das verbesserte VPC-Routing wird der gesamte COPY- und UNLOAD-Verkehr zwischen dem Cluster und den Datenrepositorys über Ihre Amazon VPC geleitet. Anschließend können Sie VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie den direkten Internetzugang verhindern, können Sie verhindern, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine Amazon ES-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen Amazon ES und anderen Diensten innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0609 | Ermöglicht den Zugriff auf drahtlose Computer und digitale Netzwerke. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0616 | Führen Sie Netzwerkscouting und Schwachstellenanalysen von Systemen innerhalb eines Netzwerks durch. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0686 | Identifizieren Sie Sicherheitslücken in Bedrohungen. | Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0686 | Identifizieren Sie Sicherheitslücken in Bedrohungen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Stellen Sie sicher, dass eine Mindestdauer der Ereignisprotokolldaten für Ihre Protokollgruppen aufbewahrt wird, um bei der Fehlerbehebung und bei forensischen Untersuchungen zu helfen. Das Fehlen verfügbarer Daten aus dem Protokoll vergangener Ereignisse macht es schwierig, potenziell bösartige Ereignisse zu rekonstruieren und zu identifizieren. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Stellen Sie sicher, dass für die Amazon Elasticsearch-Servicedomänen Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Parallelität einer Lambda-Funktion festgelegt werden. Dies kann dabei helfen, die Anzahl der Anfragen, die Ihre Funktion zu einem bestimmten Zeitpunkt bearbeitet, als Grundlage festzulegen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurdenAWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Infolgedessen erhalten Sie Protokolldateien mit API-Aktivitäten für die neue Region, ohne Maßnahmen zu ergreifen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon RDS-Datenbank-Instances. Wenn der Amazon RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (Amazon RDS) aktiviert ist. Mit der Amazon RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | AWSSecurity Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und der Art und Weise, wie sie auf die API zugegriffen haben. Dieser Einblick ermöglicht die Sichtbarkeit der Benutzeraktivitäten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand von Amazon EC2 EC2-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Datenverkehr an eine neue Amazon EC2 EC2-Instance gesendet. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | AWSDie verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Gesundheitsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu erfassen und zu verwalten. Durch die Aufnahme von AWS CloudTrail Daten erhalten Sie Einzelheiten zu den API-Aufrufaktivitäten innerhalb Ihres AWS Kontos. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und AWS Konten, die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeitpunkte der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die Erfassung von Simple Storage Service (Amazon S3) -Datenereignissen hilft bei der Erkennung ungewöhnlicher Aktivitäten. Zu den Details gehören AWS Kontoinformationen, über die auf einen Amazon S3 S3-Bucket zugegriffen wurde, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Aktivieren Sie diese Regel, um die Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Überwachung auf der Amazon EC2-Konsole zu verbessern, in der Überwachungsdiagramme mit einem Zeitraum von 1 Minute für die Instance angezeigt werden. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die Elastic Load Balancing Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Redshift Redshift-Cluster aktiviert ist. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon Redshift Redshift-Clustern bereitgestellt werden. Die Audit-Protokollierung sollte aktiviert sein, um Informationen über Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen für die Anfragen erfasst werden, die an einen Amazon S3 S3-Bucket gestellt werden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören der Anforderer, der Bucket-Name, die Anforderungszeit, die Anforderungsaktion, der Antwortstatus und gegebenenfalls ein Fehlercode. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse) | Die VPC-Flow-Protokolle enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthält der Flow-Protokolldatensatz Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0777 | Stellen Sie Netzwerk- oder Systemadministratoren und ihre Aktivitäten vor. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0805 | Melden Sie wichtige Netzwerkereignisse und -einbrüche, die auf Informationen basieren. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds dabei helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Wenn für eine Aufgabendefinition erweiterte Rechte gelten, liegt das daran, dass der Kunde ausdrücklich diesen Konfigurationen zugestimmt hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0877 | Arbeiten Sie bei der Überwachung der Zugangsrechte zu Verbraucherinformationen mit den zuständigen Organisationseinheiten zusammen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter BlockedPort1 - BlockedPort5 festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0935 | Führen Sie eine Bewertung des Informationssicherheitsrisikos durch. | annual-risk-assessment-performed (Prozessüberprüfung) | Führen Sie eine jährliche Risikobewertung für Ihr Unternehmen durch. Risikobeurteilungen können dabei helfen, die Wahrscheinlichkeit und die Auswirkungen identifizierter Risiken und/oder Sicherheitslücken, die ein Unternehmen betreffen, zu ermitteln. |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Parallelität einer Lambda-Funktion festgelegt werden. Dies kann dabei helfen, die Anzahl der Anfragen, die Ihre Funktion zu einem bestimmten Zeitpunkt bearbeitet, als Grundlage festzulegen. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon RDS-Datenbank-Instances. Wenn der Amazon RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Amazon RDS-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand von Amazon EC2 EC2-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Datenverkehr an eine neue Amazon EC2 EC2-Instance gesendet. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | AWSDie verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Gesundheitsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Amazon CloudWatch alarmiert, wenn eine Kennzahl den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert sollte die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon DynamoDB-Tabellen überprüft wird. Dies ist die Menge an Lese-/Schreibaktivitäten, die jede Tabelle unterstützen kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0960 | Überwachen Sie Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um die Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Überwachung auf der Amazon EC2-Konsole zu verbessern, in der Überwachungsdiagramme mit einem Zeitraum von 1 Minute für die Instance angezeigt werden. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | EC2-Instanzprofile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Verwaltung der geringsten Rechte und Berechtigungen helfen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Wenn für eine Aufgabendefinition erhöhte Rechte gelten, liegt das daran, dass sich der Kunde ausdrücklich für diese Konfigurationen entschieden hat. Diese Steuerung prüft, ob eine unerwartete Rechteerweiterung vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, der Kunde sich aber nicht für erhöhte Rechte entschieden hat. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Unternehmensrichtlinien rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Geschäft, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Rotation des Zugriffsschlüssels (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Die Zugriffsberechtigungen und Autorisierungen können verwaltet und nach den Prinzipien der geringsten Rechte und Aufgabentrennung integriert werden, indem Kerberos für Amazon EMR-Cluster aktiviert wird. In Kerberos werden die Dienste und Benutzer, die sich authentifizieren müssen, als Principals bezeichnet. Die Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Er bietet den Prinzipalen die Möglichkeit, sich zu authentifizieren. Das KDC authentifiziert sich, indem es Tickets zur Authentifizierung ausstellt. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Autorisierung verwendet werden sollen. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Geheimnissen kann den Zeitraum verkürzen, in dem ein Geheimnis aktiv ist, und möglicherweise die Auswirkungen auf das Geschäft verringern, wenn das Geheimnis kompromittiert wird. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Sie mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | AWSIdentity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, die geringsten Rechte zu berücksichtigen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWSBewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe (AWSIdentity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWSempfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Die verwalteten Richtlinien ermöglichen Wiederverwendbarkeit, Versionierung und Rollback sowie die Delegierung der Berechtigungsverwaltung. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke festgelegt sind. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAM-Passwortrichtlinie. Die tatsächlichen Werte sollten die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | AWSIdentity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Benutzern mehr Rechte einzuräumen, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | Stellen Sie sicher, dass IAM-Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht sind. Erstellen und verwenden Sie stattdessen rollenbasierte AWS Konten, um dem Prinzip der geringsten Funktionalität Rechnung zu tragen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWSIdentity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Sie Benutzern mehr Rechte gewähren, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und die Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Rechten auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Rechte erhält oder behält. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWSIdentity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert sollte die Richtlinien Ihrer Organisation widerspiegeln. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA bietet zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene. Indem Sie MFA für Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der privilegierteste Benutzer in einem AWS Konto. Die MFA bietet eine zusätzliche Schutzebene für einen Benutzernamen und ein Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter Konten AWS reduzieren. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800 181
