Amazon Elastic Compute Cloud-Steuerelemente

Diese Kontrollen beziehen sich auf EC2 Amazon-Ressourcen.

Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, .800-53.r5 AC-21, .800-53.r5 AC-3, .800-53.r5 AC-3 (7), .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 r5 SC-7, NIST .800-53.r5 SC-7 (11), .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (20), .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), NIST NIST NIST NIST NIST NIST NIST NIST.800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9)

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: ebs-snapshot-public-restorable-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn EBS Amazon-Snapshots von jemandem wiederhergestellt werden können.

EBSSnapshots werden verwendet, um die Daten auf Ihren EBS Volumes zu einem bestimmten Zeitpunkt auf Amazon S3 zu sichern. Sie können die Snapshots verwenden, um den vorherigen Status von EBS Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot mit der Öffentlichkeit zu teilen. Typischerweise wurde die Entscheidung, eine Momentaufnahme öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Überprüfung trägt dazu bei, dass alle diese Freigaben vollständig geplant und beabsichtigt waren.

Informationen dazu, wie Sie einen öffentlichen EBS Snapshot privat machen können, finden Sie unter Einen Snapshot teilen im EC2Amazon-Benutzerhandbuch. Wählen Sie unter Aktionen, Berechtigungen ändern die Option Privat aus.

[EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, Foundations Benchmark v1.4.0/5.3, Foundations Benchmark PCI DSS v3.0.0/5.4, CIS AWS .800-53.r5 AC-4, CIS AWS NIST .800-53.r5 AC-4 (21), .800-53.r5 SC-7, .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (5) NIST NIST NIST NIST NIST )

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-default-security-group-closed

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Standardsicherheitsgruppe von a eingehenden oder ausgehenden Datenverkehr VPC zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Datenverkehr zulässt.

Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Datenverkehr von Netzwerkschnittstellen (und den zugehörigen Instances), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Standardeinstellung für Sicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Datenverkehr einzuschränken. Dadurch wird unbeabsichtigter Datenverkehr verhindert, falls die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2 Instances konfiguriert wird.

Abhilfe

Um dieses Problem zu beheben, erstellen Sie zunächst neue Sicherheitsgruppen mit den geringsten Rechten. Anweisungen finden Sie unter Erstellen einer Sicherheitsgruppe im VPCAmazon-Benutzerhandbuch. Weisen Sie dann die neuen Sicherheitsgruppen Ihren EC2 Instances zu. Anweisungen finden Sie unter Ändern der Sicherheitsgruppe einer Instance im EC2Amazon-Benutzerhandbuch.

Nachdem Sie Ihren Ressourcen die neuen Sicherheitsgruppen zugewiesen haben, entfernen Sie alle Regeln für eingehenden und ausgehenden Datenverkehr aus den Standardsicherheitsgruppen. Anweisungen finden Sie unter Löschen von Sicherheitsgruppenregeln im VPCAmazon-Benutzerhandbuch.

[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), .800-53.r5 SI-7 (6) NIST NIST NIST NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Volume

AWS Config -Regel: encrypted-volumes

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die EBS Volumes, die sich in einem angehängten Zustand befinden, verschlüsselt sind. Um diese Prüfung zu bestehen, müssen die EBS Volumes verwendet und verschlüsselt sein. Wenn das EBS Volume nicht angeschlossen ist, wird es dieser Prüfung nicht unterzogen.

Um eine zusätzliche Sicherheitsebene für Ihre vertraulichen Daten in EBS Volumes zu gewährleisten, sollten Sie die EBS Verschlüsselung im Ruhezustand aktivieren. Amazon EBS Encryption bietet eine unkomplizierte Verschlüsselungslösung für Ihre EBS Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und sichern müssen. Bei der Erstellung verschlüsselter Volumes und Snapshots werden KMS Schlüssel verwendet.

Weitere Informationen zur EBS Amazon-Verschlüsselung finden Sie unter EBSAmazon-Verschlüsselung im EC2Amazon-Benutzerhandbuch.

Abhilfe

Es gibt keine direkte Möglichkeit, ein vorhandenes unverschlüsseltes Volume oder einen Snapshot zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot nur beim Erstellen verschlüsseln.

Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, EBS verschlüsselt Amazon das resultierende neue Volume oder den Snapshot mit Ihrem Standardschlüssel für die EBS Amazon-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. In beiden Fällen können Sie den Standardschlüssel für die EBS Amazon-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.

Weitere Informationen finden Sie unter Erstellen eines EBS Amazon-Volumes und Kopieren eines EBS Amazon-Snapshots im EC2Amazon-Benutzerhandbuch.

[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-stopped-instance

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
AllowedDays	Anzahl der Tage, an denen sich die EC2 Instance im gestoppten Zustand befinden darf, bevor ein fehlgeschlagenes Ergebnis generiert wird.	Ganzzahl	1 auf 365	30

Diese Kontrolle prüft, ob eine EC2 Amazon-Instance länger als die zulässige Anzahl von Tagen gestoppt wurde. Die Kontrolle schlägt fehl, wenn eine EC2 Instance länger als die maximal zulässige Zeitspanne angehalten wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den maximal zulässigen Zeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.

Wenn eine EC2 Instanz über einen längeren Zeitraum nicht ausgeführt wurde, stellt dies ein Sicherheitsrisiko dar, da die Instanz nicht aktiv gewartet (analysiert, gepatcht, aktualisiert) wird. Wenn sie später gestartet wird, kann der Mangel an ordnungsgemäßer Wartung zu unerwarteten Problemen in Ihrer AWS Umgebung führen. Um eine EC2 Instance über einen längeren Zeitraum sicher inaktiv zu halten, starten Sie sie regelmäßig zu Wartungszwecken und beenden Sie sie dann nach der Wartung. Idealerweise sollte dies ein automatisierter Prozess sein.

Abhilfe

Informationen zum Beenden einer inaktiven EC2 Instance finden Sie unter Kündigen einer Instance im EC2Amazon-Benutzerhandbuch.

[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/2.9, Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, CIS AWS PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-3, .800-53.r5 AU-3, .800-53.r5 AU-3 3.r5 AU-6 (3), .800-53.r5 AU-6 (4), .800-53.r NIST NIST NIST NIST NIST NIST 5 CA-7, NIST .800-53.r5 SI-7 (8)

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPC

AWS Config -Regel: vpc-flow-logs-enabled

Art des Zeitplans: Periodisch

Parameter:

• trafficType: REJECT (nicht anpassbar)

Dieses Steuerelement prüft, ob Amazon VPC Flow Logs gefunden und aktiviert wurdenVPCs. Der Datenverkehrstyp ist auf eingestelltReject.

Mit der Funktion VPC Flow Logs können Sie Informationen über den IP-Adressverkehr erfassen, der zu und von Netzwerkschnittstellen in IhremVPC. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die zugehörigen Daten in CloudWatch Logs anzeigen und abrufen. Um die Kosten zu senken, können Sie Ihre Flow-Logs auch an Amazon S3 senden.

Security Hub empfiehlt, die Flussprotokollierung für zurückgewiesene Pakete für zu aktivieren. VPCs Flussprotokolle bieten Einblick in den Netzwerkverkehr, der durch das Land fließt, VPC und können anomalen Datenverkehr erkennen oder Einblicke in Sicherheitsworkflows geben.

Standardmäßig enthält der Datensatz Werte für die verschiedenen Komponenten des IP-Adressflusses, einschließlich Quelle, Ziel und Protokoll. Weitere Informationen und Beschreibungen der Protokollfelder finden Sie unter VPCFlow Logs im VPCAmazon-Benutzerhandbuch.

Abhilfe

Informationen zum Erstellen eines VPC Flow-Protokolls finden Sie unter Erstellen eines Flow-Protokolls im VPCAmazon-Benutzerhandbuch. Nachdem Sie die VPC Amazon-Konsole geöffnet haben, wählen Sie Ihr VPCs. Wählen Sie für Filter die Option Ablehnen oder Alle aus.

[EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), .800-53.r5 SC-13, NIST .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), .800-53.r5 SI-7 (6) NIST NIST NIST NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: ec2-ebs-encryption-by-default

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store (AmazonEBS) aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene nicht aktiviert ist.

Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden EBS Amazon-Volumes und Snapshot-Kopien im Ruhezustand verschlüsselt. Dies bietet eine zusätzliche Schutzebene für Ihre Daten. Weitere Informationen finden Sie unter Standardverschlüsselung im EC2Amazon-Benutzerhandbuch.

Beachten Sie, dass die folgenden Instance-Typen keine Verschlüsselung unterstützen: R1, C1 und M1.

Abhilfe

Informationen zur Konfiguration der Standardverschlüsselung für EBS Amazon-Volumes finden Sie unter Standardverschlüsselung im EC2Amazon-Benutzerhandbuch.

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST .800-53.r5 AC-3, .800-53.r5 AC-3 (15), .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-6 NIST NIST

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Hoch

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-imdsv2-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Ihre EC2 Instanz-Metadatenversion mit Version 2 (IMDSv2) für den Instanz-Metadatendienst konfiguriert ist. Das Steuerelement HttpTokens ist erfolgreich, wenn es auf erforderlich für gesetzt istIMDSv2. Das Steuerelement schlägt fehl, wenn auf gesetzt HttpTokens istoptional.

Sie verwenden Instanz-Metadaten, um die laufende Instanz zu konfigurieren oder zu verwalten. Das IMDS bietet Zugriff auf temporäre, häufig wechselnde Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert fest zu codieren oder vertrauliche Anmeldeinformationen an Instanzen zu verteilen. Das IMDS ist lokal an jede EC2 Instanz angehängt. Es läuft auf einer speziellen „Link-Local“ -IP-Adresse von 169.254.169.254. Auf diese IP-Adresse kann nur mit Software zugegriffen werden, die auf der Instance ausgeführt wird.

Version 2 von IMDS fügt neue Schutzmaßnahmen für die folgenden Arten von Sicherheitslücken hinzu. Diese Sicherheitsanfälligkeiten könnten genutzt werden, um auf die IMDS zuzugreifen.

• Öffnen Sie die Firewalls für Websites und Anwendungen.

• Öffnen Sie Reverse-Proxys

• Sicherheitslücken bei serverseitiger Request Forgery () SSRF

• Offene Layer-3-Firewalls und Netzwerkadressübersetzung () NAT

Security Hub empfiehlt, dass Sie Ihre EC2 Instanzen mit konfigurierenIMDSv2.

Abhilfe

Informationen zur Konfiguration von EC2 Instances mit IMDSv2 finden Sie unter Empfohlener Pfad zur Anforderung IMDSv2 im EC2Amazon-Benutzerhandbuch.

[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

Verwandte Anforderungen: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST NIST

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-instance-no-public-ip

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob EC2 Instances eine öffentliche IP-Adresse haben. Die Steuerung schlägt fehl, wenn das publicIp Feld im EC2 Instanzkonfigurationselement vorhanden ist. Dieses Steuerelement gilt nur für IPv4 Adressen.

Eine öffentliche IPv4 Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instance mit einer öffentlichen IP-Adresse starten, ist Ihre EC2 Instance über das Internet erreichbar. Eine private IPv4 Adresse ist eine IP-Adresse, die über das Internet nicht erreichbar ist. Sie können private IPv4 Adressen für die Kommunikation zwischen EC2 Instanzen im selben VPC oder in Ihrem verbundenen privaten Netzwerk verwenden.

IPv6Adressen sind weltweit einzigartig und daher über das Internet erreichbar. Standardmäßig ist das IPv6 Adressierungsattribut jedoch in allen Subnetzen auf False gesetzt. Weitere Informationen zu IPv6 finden Sie unter IP-Adressierung VPC in Ihrem im VPCAmazon-Benutzerhandbuch.

Wenn Sie einen legitimen Anwendungsfall für die Verwaltung von EC2 Instances mit öffentlichen IP-Adressen haben, können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Frontend-Architekturoptionen finden Sie im AWS Architektur-Blog oder in der Reihe This Is My Architecture.

Abhilfe

Verwenden Sie eine nicht standardmäßige, VPC damit Ihrer Instance standardmäßig keine öffentliche IP-Adresse zugewiesen wird.

Wenn Sie eine EC2 Instance mit einer Standardeinstellung startenVPC, wird ihr eine öffentliche IP-Adresse zugewiesen. Wenn Sie eine EC2 Instance in einer anderen als der Standardeinstellung startenVPC, bestimmt die Subnetzkonfiguration, ob sie eine öffentliche IP-Adresse erhält. Das Subnetz verfügt über ein Attribut, das bestimmt, ob neue EC2 Instances im Subnetz eine öffentliche IP-Adresse aus dem öffentlichen Adresspool erhalten. IPv4

Sie können eine automatisch zugewiesene öffentliche IP-Adresse Ihrer Instance nicht manuell zuordnen oder deren Zuordnung aufheben. EC2 Gehen Sie wie folgt vor, um zu kontrollieren, ob Ihre EC2 Instance eine öffentliche IP-Adresse erhält:

• Ändern Sie das öffentliche IP-Adressierungsattribut Ihres Subnetzes. Weitere Informationen finden Sie unter Ändern des Public IPv4 Addressing-Attributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch.

• Aktivieren oder deaktivieren Sie die Funktion zur öffentlichen IP-Adressierung beim Start. Dadurch wird das öffentliche IP-Adressierungsattribut des Subnetzes außer Kraft gesetzt. Weitere Informationen finden Sie unter Zuweisen einer öffentlichen IPv4 Adresse beim Instance-Start im EC2Amazon-Benutzerhandbuch.

Weitere Informationen finden Sie unter Öffentliche IPv4 Adressen und externe DNS Hostnamen im EC2Amazon-Benutzerhandbuch.

Wenn Ihre EC2 Instance mit einer Elastic IP-Adresse verknüpft ist, ist Ihre EC2 Instance über das Internet erreichbar. Sie können die Zuordnung einer Elastic IP-Adresse jederzeit von einer Instance oder einer Netzwerkschnittstelle trennen. Informationen zum Trennen einer Elastic IP-Adresse finden Sie unter Trennen einer Elastic IP-Adresse im EC2Amazon-Benutzerhandbuch.

[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

Verwandte Anforderungen: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (4) NIST NIST NIST NIST NIST

Kategorie: Schützen > Sichere Netzwerkkonfiguration > API privater Zugriff

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPC

AWS Config -Regel: service-vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

• serviceName: ec2 (nicht anpassbar)

Dieses Steuerelement prüft, ob für jeden ein Service-Endpunkt für Amazon EC2 erstellt wurdeVPC. Die Steuerung schlägt fehl, wenn für a VPC kein VPC Endpunkt für den EC2 Amazon-Service erstellt wurde.

Diese Kontrolle bewertet Ressourcen in einem einzigen Konto. Es kann keine Ressourcen beschreiben, die sich außerhalb des Kontos befinden. Da AWS Config Security Hub keine kontoübergreifenden Prüfungen durchführt, werden Sie feststellen, VPCs dass die FAILED Ergebnisse für alle Konten gemeinsam genutzt werden. Security Hub empfiehlt, diese FAILED Ergebnisse zu unterdrücken.

Um Ihre Sicherheitslage zu verbessernVPC, können Sie Amazon so konfigurieren, EC2 dass es einen VPC Schnittstellenendpunkt verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf EC2 API Amazon-Operationen zugreifen können. Es schränkt den gesamten Netzwerkverkehr zwischen Ihnen VPC und Amazon EC2 auf das Amazon-Netzwerk ein. Da Endgeräte nur in derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einem VPC und einem Service in einer anderen Region erstellen. Dies verhindert unbeabsichtigte EC2 API Amazon-Anrufe in andere Regionen.

Weitere Informationen zum Erstellen von VPC Endpunkten für Amazon EC2 finden Sie unter Amazon EC2 und VPC Schnittstellenendpunkte im EC2Amazon-Benutzerhandbuch.

Abhilfe

Informationen zum Erstellen eines Schnittstellenendpunkts zu Amazon EC2 von der VPC Amazon-Konsole aus finden Sie unter Erstellen eines VPC Endpunkts im AWS PrivateLink Handbuch. Wählen Sie für den Servicenamen com.amazonaws aus.region.ec2.

Sie können auch eine Endpunktrichtlinie erstellen und an Ihren VPC Endpunkt anhängen, um den Zugriff auf Amazon zu kontrollieren EC2API. Anweisungen zum Erstellen einer VPC Endpunktrichtlinie finden Sie unter Erstellen einer Endpunktrichtlinie im EC2Amazon-Benutzerhandbuch.

[EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, .800-53.r5 CM-8 (1) NIST

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::EIP

AWS Config -Regel: eip-attached

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Elastic IP (EIP) -Adressen, die a zugewiesen VPC sind, mit EC2 Instances oder verwendeten Elastic Network-Schnittstellen (ENIs) verknüpft sind.

Ein fehlgeschlagenes Ergebnis deutet darauf hin, dass Sie möglicherweise ungenutzte EC2 EIPs haben.

Auf diese Weise können Sie einen genauen Bestand an Beständen EIPs in Ihrer Karteninhaberdatenumgebung führen (CDE).

Informationen zur Freigabe einer ungenutzten EIP IP-Adresse finden Sie unter Elastic IP Address veröffentlichen im EC2Amazon-Benutzerhandbuch.

[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), .800-53.r5 CM-7, NIST .800-53.r5 SC-7, .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (5) NIST NIST NIST NIST

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: restricted-ssh

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: Keine

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 für eingehenden Datenverkehr erlauben sollte. Durch das Entfernen der uneingeschränkten Konnektivität zu Remote-Konsolendiensten, z. B.SSH, wird das Risiko für einen Server verringert.

Abhilfe

Um den Zugriff auf Port 22 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe erlaubt, die einem zugeordnet ist. VPC Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 22 ermöglicht.

[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

Verwandte CIS AWS Anforderungen: Foundations Benchmark v1.2.0/4.2

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: restricted-common-ports(Die erstellte Regel istrestricted-rdp)

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: Keine

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 für eingehenden Datenverkehr erlauben sollte. Durch das Entfernen der uneingeschränkten Konnektivität zu Remote-Konsolendiensten, z. B., wird das Risiko für einen Server verringert. RDP

Abhilfe

Um den Zugriff auf Port 3389 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe erlaubt, die einem zugeordnet ist. VPC Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im VPCAmazon-Benutzerhandbuch. Nachdem Sie in der VPC Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 3389 ermöglicht.

[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

Verwandte Anforderungen: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST NIST

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Subnet

AWS Config -Regel: subnet-auto-assign-public-ip-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Zuweisung von öffentlichen Subnetzen IPs in Amazon Virtual Private Cloud (AmazonVPC) auf MapPublicIpOnLaunch FALSE eingestellt ist. Die Kontrolle ist erfolgreich, wenn das Flag auf FALSE gesetzt ist.

Alle Subnetze haben ein Attribut, das bestimmt, ob eine im Subnetz erstellte Netzwerkschnittstelle automatisch eine öffentliche IPv4 Adresse erhält. Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.

Abhilfe

Informationen zur Konfiguration eines Subnetzes so, dass keine öffentlichen IP-Adressen zugewiesen werden, finden Sie unter Ändern des öffentlichen IPv4 Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch. Deaktivieren Sie das Kontrollkästchen Automatische Zuweisung öffentlicher IPv4 Adresse aktivieren.

[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

Verwandte Anforderungen: NIST .800-53.r5 CM-8 (1)

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config -Regel: vpc-network-acl-unused-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob es in Ihrer Virtual Private Cloud (ACLs) ungenutzte Netzwerkzugriffskontrolllisten (NetzwerkVPC) gibt. Die Steuerung schlägt fehl, wenn ACL das Netzwerk keinem Subnetz zugeordnet ist. Das Steuerelement generiert keine Ergebnisse für ein unbenutztes StandardnetzwerkACL.

Das Steuerelement überprüft die Elementkonfiguration der Ressource AWS::EC2::NetworkAcl und bestimmt die Beziehungen des NetzwerksACL.

Wenn die einzige Beziehung die VPC des Netzwerks istACL, schlägt die Steuerung fehl.

Wenn andere Beziehungen aufgeführt sind, ist die Kontrolle erfolgreich.

Abhilfe

Anweisungen zum Löschen eines ungenutzten Netzwerks ACL finden Sie unter Löschen eines Netzwerks ACL im VPCAmazon-Benutzerhandbuch. Sie können das Standardnetzwerk ACL oder ein NetzwerkACL, das Subnetzen zugeordnet ist, nicht löschen.

[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

Verwandte Anforderungen: NIST .800-53.r5 AC-4 (21)

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-instance-multiple-eni-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine EC2 Instance mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapter (EFAs) verwendet. Dieses Steuerelement ist erfolgreich, wenn ein einziger Netzwerkadapter verwendet wird. Das Steuerelement enthält eine optionale Parameterliste zur Identifizierung der zulässigen ParameterENIs. Diese Kontrolle schlägt auch fehl, wenn eine EC2 Instance, die zu einem EKS Amazon-Cluster gehört, mehr als eine verwendetENI. Wenn Ihre EC2 Instances mehrere ENIs als Teil eines EKS Amazon-Clusters benötigen, können Sie diese Kontrollergebnisse unterdrücken.

Mehrere ENIs können zu doppelt vernetzten Instances führen, d. h. zu Instances mit mehreren Subnetzen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und Zugriffe zur Folge haben.

Abhilfe

Informationen zum Trennen einer Netzwerkschnittstelle von einer EC2 Instance finden Sie unter Trennen einer Netzwerkschnittstelle von einer Instance im EC2Amazon-Benutzerhandbuch.

[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

Verwandte Anforderungen: NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (11), .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (5) NIST NIST

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-open-only-to-authorized-ports

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
authorizedTcpPorts	Liste der autorisierten TCP Ports	IntegerList (maximal 32 Artikel)	1 auf 65535	[80,443]
authorizedUdpPorts	Liste der autorisierten UDP Ports	IntegerList (maximal 32 Artikel)	1 auf 65535	Kein Standardwert

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe uneingeschränkten eingehenden Datenverkehr von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt:

• Wenn Sie den Standardwert für verwendenauthorizedTcpPorts, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem anderen Port als den Ports 80 und 443 zulässt.

• Wenn Sie benutzerdefinierte Werte für authorizedTcpPorts oder angeben, schlägt die Steuerung fehlauthorizedUdpPorts, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem nicht aufgelisteten Port zulässt.

• Wenn kein Parameter verwendet wird, schlägt die Steuerung für jede Sicherheitsgruppe fehl, für die eine Regel für uneingeschränkten eingehenden Verkehr gilt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu. AWS Sicherheitsgruppenregeln sollten dem Prinzip des Zugriffs mit den geringsten Rechten folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, denial-of-service Angriffe und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte der Port den uneingeschränkten Zugriff verweigern.

Abhilfe

Informationen zum Ändern einer Sicherheitsgruppe finden Sie unter Arbeiten mit Sicherheitsgruppen im VPCAmazon-Benutzerhandbuch.

[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

Verwandte Anforderungen: NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-7, .800-53.r5 SC-7, .800-53.r5 SC-7 (11), NIST .800-53.r5 SC-7 5 SC-7 (16), NIST .800-53.r5 SC-7 (21), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (5) NIST NIST NIST NIST NIST

Kategorie: Schützen > Eingeschränkter Netzwerkzugriff

Schweregrad: Kritisch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: restricted-common-ports(Die erstellte Regel istvpc-sg-restricted-common-ports)

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (nicht anpassbar)

Diese Kontrolle prüft, ob uneingeschränkter eingehender Verkehr für eine EC2 Amazon-Sicherheitsgruppe über die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Diese Kontrolle schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von '0.0.0.0/0' oder ': :/0' zu diesen Ports zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, Angriffe und Datenverlust. denial-of-service Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:

• 20, 21 () FTP

• 22 (SSH)

• 23 (Telnet)

• 25 () SMTP

• 10 (POP3)

• 135 (RPC)

• 143 (IMAP)

• 45 (CIFS)

• 143, 1434 () MSSQL

• 3000 (Go-, Node.js- und Ruby-Frameworks für die Webentwicklung)

• 3306 (meinSQL)

• 389 () RDP

• 4333 (ahsp)

• 5000 (Python-Frameworks für die Webentwicklung)

• 5432 (Postgresql)

• 5500 (1) fcp-addr-srvr

• 5601 (Armaturenbretter) OpenSearch

• 8080 (Proxy)

• 8088 (älterer HTTP Port)

• 8888 (alternativer HTTP Anschluss)

• 9200 oder 9300 () OpenSearch

Abhilfe

Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden Sie unter Regeln aus einer Sicherheitsgruppe löschen im EC2Amazon-Benutzerhandbuch.

[EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST

Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPNConnection

AWS Config -Regel: vpc-vpn-2-tunnels-up

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Ein VPN Tunnel ist eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder AWS innerhalb einer AWS VPN Site-to-Site-Verbindung übertragen werden können. Jede VPN Verbindung umfasst zwei VPN Tunnel, die Sie gleichzeitig für hohe Verfügbarkeit verwenden können. Es ist wichtig, sicherzustellen, dass beide VPN Tunnel für eine VPN Verbindung verfügbar sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS VPC und Ihrem Remote-Netzwerk zu gewährleisten.

Diese Steuerung überprüft, ob sich beide von AWS Site-to-Site bereitgestellten VPN Tunnel im Status VPN UP befinden. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status befinden. DOWN

Abhilfe

Informationen zum Ändern der VPN Tunneloptionen finden Sie unter Ändern von VPN Site-to-Site-Tunneloptionen im AWS VPN Site-to-Site-Benutzerhandbuch.

[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST .800-53.r5 AC-4 (21), .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-7, NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (5) NIST NIST NIST

Kategorie: Schützen > Sichere Netzwerkkonfiguration

Schweregrad: Mittel

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config -Regel: nacl-no-unrestricted-ssh-rdp

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine Netzwerkzugriffskontrollliste (NetzwerkACL) uneingeschränkten Zugriff auf die TCP Standardports für SSH RDP /Ingress-Verkehr ermöglicht. Die Steuerung schlägt fehl, wenn der ACL eingehende Netzwerkeintrag einen CIDR Quellblock von '0.0.0.0/0' oder ': :/0' für die Ports 22 oder 3389 zulässt. TCP Das Steuerelement generiert keine Ergebnisse für ein Standardnetzwerk. ACL

Der Zugriff auf die Verwaltungsports des Remoteservers, wie Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihres Servers ermöglichen kann. VPC

Abhilfe

Informationen zum Bearbeiten von Regeln für ACL den Netzwerkverkehr finden Sie unter Arbeiten mit dem Netzwerk ACLs im VPCAmazon-Benutzerhandbuch.

[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

Wichtig

RETIREDFROMSPECIFICSTANDARDS— Security Hub hat diese Kontrolle am 20. September 2023 aus dem AWS Foundational Security Best Practices-Standard und der NIST SP 800-53 Rev. 5 entfernt. Dieses Steuerelement ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2 Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2 Steuerelemente wie EC2 .2, EC2 .13, EC2 .14, EC2 .18 und .19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. EC2

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

AWS::EC2::NetworkInterfaceRessourcentyp:, AWS::EC2::SecurityGroup

AWS Config -Regel: ec2-security-group-attached-to-eni-periodic

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob Sicherheitsgruppen an Amazon Elastic Compute Cloud (AmazonEC2) -Instances oder an eine elastic network interface angehängt sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keiner EC2 Amazon-Instance oder einer elastic network interface zugeordnet ist.

Abhilfe

Informationen zum Erstellen, Zuweisen und Löschen von Sicherheitsgruppen finden Sie im EC2 Amazon-Benutzerhandbuch unter Sicherheitsgruppen.

[EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

Verwandte Anforderungen: NIST .800-53.r5 AC-4 (21), .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2 NIST

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::TransitGateway

AWS Config -Regel: ec2-transit-gateway-auto-vpc-attach-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob EC2 Transit-Gateways gemeinsam genutzte VPC Anlagen automatisch akzeptieren. Diese Steuerung schlägt bei einem Transit-Gateway fehl, das automatisch Anfragen für gemeinsam genutzte VPC Anlagen akzeptiert.

Durch die Aktivierung wird ein Transit-Gateway so AutoAcceptSharedAttachments konfiguriert, dass es automatisch alle kontoübergreifenden VPC Anhangsanforderungen akzeptiert, ohne dass die Anfrage oder das Konto, von dem der Anhang stammt, überprüft werden. Um den bewährten Methoden der Autorisierung und Authentifizierung zu folgen, wurde empfohlen, diese Funktion zu deaktivieren, um sicherzustellen, dass nur autorisierte VPC Anhangsanfragen akzeptiert werden.

Abhilfe

Informationen zum Ändern eines Transit-Gateways finden Sie unter Modifizieren eines Transit-Gateways im Amazon VPC Developer Guide.

[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

Verwandte Anforderungen: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-paravirtual-instance-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob der Virtualisierungstyp einer EC2 Instanz paravirtuell ist. Die Steuerung schlägt fehl, wenn virtualizationType für die EC2 Instanz auf eingestellt ist. paravirtual

Linux Amazon Machine Images (AMIs) verwenden eine von zwei Arten der Virtualisierung: paravirtuelle (PV) oder virtuelle Hardware-Maschine (). HVM Die Hauptunterschiede zwischen PV und HVM AMIs bestehen in der Art und Weise, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) für eine bessere Leistung nutzen können.

In der Vergangenheit hatten HVM PV-Gäste in vielen Fällen eine bessere Leistung als Gäste, aber aufgrund der Verbesserungen bei der HVM Virtualisierung und der Verfügbarkeit von PV-Treibern für HVM AMIs ist dies nicht mehr der Fall. Weitere Informationen finden Sie unter AMILinux-Virtualisierungstypen im EC2 Amazon-Benutzerhandbuch.

Abhilfe

Informationen zum Aktualisieren einer EC2 Instance auf einen neuen Instance-Typ finden Sie unter Ändern des Instance-Typs im EC2Amazon-Benutzerhandbuch.

[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

Verwandte Anforderungen: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::EC2::LaunchTemplate

AWS Config -Regel: ec2-launch-template-public-ip-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob EC2 Amazon-Startvorlagen so konfiguriert sind, dass Netzwerkschnittstellen beim Start öffentliche IP-Adressen zugewiesen werden. Die Steuerung schlägt fehl, wenn eine EC2 Startvorlage so konfiguriert ist, dass sie Netzwerkschnittstellen eine öffentliche IP-Adresse zuweist, oder wenn mindestens eine Netzwerkschnittstelle mit einer öffentlichen IP-Adresse vorhanden ist.

Eine öffentliche IP-Adresse ist eine, die über das Internet erreichbar ist. Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die mit diesen Netzwerkschnittstellen verknüpften Ressourcen möglicherweise vom Internet aus erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Workloads ermöglichen kann.

Abhilfe

Informationen zum Aktualisieren einer EC2 Startvorlage finden Sie unter Ändern der Standardeinstellungen für die Netzwerkschnittstelle im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.

[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST NIST NIST NIST

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Volume

AWS Config Regel: ebs-resources-protected-by-backup-plan

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
backupVaultLockCheck	Das Steuerelement ermittelt, PASSED ob der Parameter auf gesetzt ist true und die Ressource AWS Backup Vault Lock verwendet.	Boolesch	true oder false	Kein Standardwert

Diese Kontrolle bewertet, ob ein EBS Amazon-Volume im in-use Bundesstaat durch einen Backup-Plan abgedeckt ist. Die Kontrolle schlägt fehl, wenn ein EBS Volume nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, ist die Steuerung nur erfolgreich, wenn das EBS Volume in einem AWS Backup gesperrten Tresor gesichert ist.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie EBS Amazon-Volumes in einen Backup-Plan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

Abhilfe

Informationen zum Hinzufügen eines EBS Amazon-Volumes zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.

[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Kennzeichnung

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGatewayAttachment

AWS Config Regel: tagged-ec2-transitgatewayattachment (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Diese Kontrolle prüft, ob ein Amazon EC2 Transit Gateway-Anhang Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Transit-Gateway-Anhang keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Transit-Gateway-Anhang mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway-Anhang finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGatewayRouteTable

AWS Config Regel: tagged-ec2-transitgatewayroutetable (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon EC2 Transit Gateway-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Transit-Gateway-Routentabelle keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Transit-Gateway-Routentabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Transit-Gateway-Routentabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkInterface

AWS Config Regel: tagged-ec2-networkinterface (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Netzwerkschnittstelle Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Netzwerkschnittstelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerkschnittstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Netzwerkschnittstelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.36] EC2 Kunden-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::CustomerGateway

AWS Config Regel: tagged-ec2-customergateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Kunden-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Kunden-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Kunden-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Kunden-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::EIP

AWS Config Regel: tagged-ec2-eip (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon EC2 Elastic IP-Adresse Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Elastic IP-Adresse keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Elastic IP-Adresse mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Elastic IP-Adresse finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.38] EC2 Instances sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Instance

AWS Config Regel: tagged-ec2-instance (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Instanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Instance finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.39] EC2 Internet-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::InternetGateway

AWS Config Regel: tagged-ec2-internetgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Internet-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Internet-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Internet-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Internet-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.40] EC2 NAT Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NatGateway

AWS Config Regel: tagged-ec2-natgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein Amazon EC2 Network Address Translation (NAT) -Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das NAT Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das NAT Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 NAT Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config Regel: tagged-ec2-networkacl (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Diese Kontrolle prüft, ob eine EC2 Amazon-Netzwerkzugriffskontrollliste (NetzwerkACL) Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn ACL das Netzwerk keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ACL ist, und schlägt fehl, wenn das Netzwerk mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Netzwerk ACL finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.42] EC2 Routentabellen sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::RouteTable

AWS Config Regel: tagged-ec2-routetable (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Routing-Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Routing-Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Routing-Tabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: tagged-ec2-securitygroup (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Sicherheitsgruppe finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.44] EC2 Subnetze sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Subnet

AWS Config Regel: tagged-ec2-subnet (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Subnetz Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn das Subnetz keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Subnetz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Subnetz finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.45] EC2 Volumes sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Volume

AWS Config Regel: tagged-ec2-subnet (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Volume Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Volume keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Volume mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Band finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.46] Amazon VPCs sollte markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPC

AWS Config Regel: tagged-ec2-vpc (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon Virtual Private Cloud (AmazonVPC) Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn Amazon VPC keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sindrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden VPC ist, und schlägt fehl, wenn Amazon mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.47] Amazon VPC Endpoint Services sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPCEndpointService

AWS Config Regel: tagged-ec2-vpcendpointservice (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein VPC Amazon-Endpunkt-Service Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Endpunkt-Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Endpunktdienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC Amazon-Endpunkt-Service finden Sie unter Tags verwalten im Abschnitt Konfiguration eines Endpunktdienstes des AWS PrivateLink Handbuchs.

[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::FlowLog

AWS Config Regel: tagged-ec2-flowlog (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein VPC Amazon-Flow-Protokoll Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Flow-Protokoll keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Flow-Protokoll mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC Amazon-Flow-Protokoll finden Sie unter Ein Flow-Protokoll taggen im VPCAmazon-Benutzerhandbuch.

[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPCPeeringConnection

AWS Config Regel: tagged-ec2-vpcpeeringconnection (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine VPC Amazon-Peering-Verbindung Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn die Peering-Verbindung keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Peering-Verbindung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer VPC Amazon-Peering-Verbindung finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.50] EC2 VPN Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPNGateway

AWS Config Regel: tagged-ec2-vpngateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 VPN Amazon-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das VPN Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das VPN Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 VPN Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

Verwandte Anforderungen: NIST .800-53.r5 AC-2 (12), .800-53.r5 AC-2 (4), NIST .800-53.r5 AC-4 (26), .800-53.r5 AC-6 (9), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-2, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), NIST .800-53.r5 AU-9 (7), .800-53,r5 CA-7, NIST .800-53,r5 SC-7 (9), NIST .800-53,r5 SI-3 (8), .800-53,r5 SI-4, NIST .800-53,r5 SI-4 (20), .800-53,r5 SI-7 (8) NIST NIST NIST NIST NIST NIST NIST NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::ClientVpnEndpoint

AWS Config Regel: ec2-client-vpn-connection-log-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für einen AWS Client VPN Endpunkt die Client-Verbindungsprotokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für den Endpunkt die Client-Verbindungsprotokollierung nicht aktiviert ist.

Mithilfe von VPN Client-Endpunkten können Remoteclients eine sichere Verbindung zu Ressourcen in einer Virtual Private Cloud (VPC) herstellen. AWS Verbindungsprotokolle ermöglichen es Ihnen, Benutzeraktivitäten auf dem VPN Endpunkt zu verfolgen, und bieten Transparenz. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokollstream angeben, erstellt der VPN Client-Dienst einen für Sie.

Abhilfe

Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter Aktivieren der Verbindungsprotokollierung für einen vorhandenen VPN Client-Endpunkt im AWS Client VPN Administratorhandbuch.

[EC2.52] EC2 Transit-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGateway

AWS Config Regel: tagged-ec2-transitgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	No default value

Diese Steuerung prüft, ob ein Amazon EC2 Transit Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Transit-Gateway keine Tag-Schlüssel hat oder wenn es nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Transit-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

Verwandte Anforderungen: Foundations Benchmark v3.0.0/5.2 CIS AWS

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Konfiguration von Sicherheitsgruppen

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-port-restriction-check

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
ipType	Die IP-Version	String	Nicht anpassbar	IPv4
restrictPorts	Liste der Ports, die eingehenden Datenverkehr ablehnen sollen	IntegerList	Nicht anpassbar	22,3389

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 auf Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf die Verwaltungsports des Remoteservers zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, wobei entweder die Protokolle TDP (6), (17) oder UDP (-1) verwendet werden. ALL Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

Abhilfe

Informationen zum Aktualisieren einer EC2 Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

Verwandte Anforderungen: Foundations Benchmark v3.0.0/5.3 CIS AWS

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Konfiguration von Sicherheitsgruppen

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-port-restriction-check

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
ipType	Die IP-Version	String	Nicht anpassbar	IPv6
restrictPorts	Liste der Ports, die eingehenden Datenverkehr ablehnen sollen	IntegerList	Nicht anpassbar	22,3389

Diese Steuerung prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von: :/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von: :/0 zu Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf die Verwaltungsports des Remoteservers zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, wobei entweder die Protokolle TDP (6), (17) oder UDP (-1) verwendet werden. ALL Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

Abhilfe

Informationen zum Aktualisieren einer EC2 Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.