Security Hub-Steuerelemente für IAM - AWS Security Hub
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.[IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein[IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden[IAM.24] IAM-Rollen sollten markiert werden[IAM.25] IAM-Benutzer sollten markiert werden[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für IAM

Diese AWS Security Hub Kontrollen bewerten den AWS Identity and Access Management (IAM-) Dienst und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

Verwandte Anforderungen: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7) NIST.800-53.r5 AC-2,,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3) AWS NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Hoch

Art der Ressource: AWS::IAM::Policy

AWS Config -Regel: iam-policy-no-statements-with-admin-access

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • excludePermissionBoundaryPolicy: true(nicht anpassbar)

Dieses Steuerelement überprüft, ob die Standardversion der IAM-Richtlinien (auch als vom Kunden verwaltete Richtlinien bezeichnet) Administratorzugriff hat. Dazu wird eine Erklärung mit dem Zusatz „"Effect": "Allow"mit "Action": "*" über"Resource": "*"“ hinzugefügt. Die Kontrolle schlägt fehl, wenn Sie über IAM-Richtlinien mit einer solchen Erklärung verfügen.

Das Steuerelement prüft nur die vom Kunden verwalteten Richtlinien, die Sie erstellen. Inline-Richtlinien und AWS verwaltete Richtlinien werden nicht geprüft.

IAM-Richtlinien definieren eine Reihe von Rechten, die Benutzern, Gruppen oder Rollen gewährt werden. Gemäß den üblichen Sicherheitshinweisen wird AWS empfohlen, die geringsten Rechte zu gewähren, d. h., nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Wenn Sie umfassende administrative Berechtigungen anstelle nur derjenigen bereitstellen, die der Benutzer für seine Tätigkeit benötigt, ermöglichen Sie unter Umständen ungewollte Aktionen mit den Ressourcen.

Anstatt umfassende administrative Berechtigungen zu gewähren, legen Sie fest, was Benutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen die Benutzer nur diese Aufgaben ausführen können. Es ist sicherer, mit einem Mindestsatz von Berechtigungen zu beginnen und bei Bedarf zusätzliche Berechtigungen zu erteilen. Beginnen Sie nicht mit Berechtigungen, die zu weit gefasst sind, und versuchen Sie dann, sie später zu begrenzen.

Sie sollten IAM-Richtlinien entfernen, die eine Erklärung "Effect": "Allow" mit der Aufschrift "Action": "*" über "Resource": "*" enthalten.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Informationen dazu, wie Sie Ihre IAM-Richtlinien so ändern, dass sie keine vollen „*“ -Administratorrechte gewähren, finden Sie unter Bearbeiten von IAM-Richtlinien im IAM-Benutzerhandbuch.

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

Verwandte Anforderungen: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS Foundations Benchmark v1.2.0/1.16,, (1), (15), (7), (3) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::IAM::User

AWS Config -Regel: iam-user-no-policies-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Ihren IAM-Benutzern Richtlinien zugeordnet sind. Die Kontrolle schlägt fehl, wenn Ihren IAM-Benutzern Richtlinien zugewiesen sind. Stattdessen müssen IAM-Benutzer Berechtigungen von IAM-Gruppen erben oder eine Rolle übernehmen.

Standardmäßig haben IAM-Benutzer, -Gruppen und -Rollen keinen Zugriff auf Ressourcen. AWS IAM-Richtlinien gewähren Benutzern, Gruppen oder Rollen Rechte. Wir empfehlen, dass Sie IAM-Richtlinien direkt auf Gruppen und Rollen anwenden, jedoch nicht auf Benutzer. Das Zuweisen von Berechtigungen auf Gruppen- oder Rollenebene reduziert die Komplexität bei der Zugriffsverwaltung, wenn die Benutzeranzahl steigt. Eine Reduzierung der Komplexität bei der Zugriffsverwaltung kann wiederum das Risiko mindern, dass ein Prinzipal irrtümlicherweise übermäßige Berechtigungen erhält.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie globale Ressourcen nur in einer einzigen Region aufzeichnen, können Sie diese Steuerung in allen Regionen außer der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Um dieses Problem zu beheben, erstellen Sie eine IAM-Gruppe und hängen Sie die Richtlinie an die Gruppe an. Fügen Sie dann die Benutzer der Gruppe hinzu. Die Richtlinie gilt für jeden Benutzer in der Gruppe. Informationen zum Entfernen einer direkt mit einem Benutzer verknüpften Richtlinie finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.14, CIS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI DSS v4.0.1/8.3.9, PCI DSS NIST.800-53.r5 AC-2 v4.0.1/8.6.3 AWS NIST.800-53.r5 AC-3

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::User

AWS Config -Regel: access-keys-rotated

Art des Zeitplans: Periodisch

Parameter:

  • maxAccessKeyAge: 90 (nicht anpassbar)

Dieses Steuerelement prüft, ob die aktiven Zugriffsschlüssel innerhalb von 90 Tagen rotiert werden.

Wir empfehlen Ihnen dringend, nicht alle Zugriffsschlüssel in Ihrem Konto zu generieren und zu entfernen. Stattdessen empfiehlt es sich, entweder eine oder mehrere IAM-Rollen zu erstellen oder den Verbund über AWS IAM Identity Center zu verwenden. Sie können diese Methoden verwenden, um Ihren Benutzern den Zugriff auf AWS Management Console und AWS CLI zu ermöglichen.

Jeder Ansatz hat seine Anwendungsfälle. Ein Verbund eignet sich im Allgemeinen besser für Unternehmen, die bereits über ein zentrales Verzeichnis verfügen oder planen, mehr als das derzeitige Limit für IAM-Benutzer zu benötigen. Anwendungen, die außerhalb einer AWS Umgebung ausgeführt werden, benötigen Zugriffstasten für den programmatischen Zugriff AWS auf Ressourcen.

Wenn die Ressourcen, die programmatischen Zugriff benötigen, jedoch intern ausgeführt werden AWS, empfiehlt es sich, IAM-Rollen zu verwenden. Rollen ermöglichen es Ihnen, einer Ressource Zugriff zu gewähren, ohne eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel in die Konfiguration zu integrieren.

Weitere Informationen zum Schutz Ihrer Zugriffsschlüssel und Ihres Kontos finden Sie unter Bewährte Methoden für die Verwaltung von AWS Zugriffsschlüsseln in der. Allgemeine AWS-Referenz Lesen Sie auch den Blogbeitrag Richtlinien für Ihren Schutz AWS-Konto bei der Verwendung von programmatischem Zugriff.

Wenn Sie bereits über einen Zugriffsschlüssel verfügen, empfiehlt Security Hub, die Zugangsschlüssel alle 90 Tage zu wechseln. Das Rotieren von Zugriffsschlüsseln reduziert die Gefahr, dass ein Zugriffsschlüssel eines kompromittierten oder gesperrten Kontos verwendet werden kann. Außerdem wird sichergestellt, dass mit einem alten Schlüssel, der möglicherweise verloren gegangen ist, geknackt bzw. gestohlen wurde, nicht auf Daten zugegriffen werden kann. Aktualisieren Sie Ihre Anwendungen immer, nachdem Sie Zugriffsschlüssel rotiert haben.

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Sie werden verwendet, um programmatische Anfragen zu signieren, die Sie stellen AWS. Benutzer benötigen ihre eigenen Zugriffstasten AWS CLI, um programmgesteuerte Aufrufe AWS über die Tools für Windows PowerShell oder direkte HTTP-Aufrufe mithilfe der AWS SDKs API-Operationen für einzelne Benutzer zu tätigen. AWS-Services

Wenn Ihre Organisation AWS IAM Identity Center (IAM Identity Center) verwendet, können sich Ihre Benutzer bei Active Directory, einem integrierten IAM Identity Center-Verzeichnis oder einem anderen Identitätsanbieter (IdP) anmelden, der mit IAM Identity Center verbunden ist. Sie können dann einer IAM-Rolle zugeordnet werden, die es ihnen ermöglicht, AWS CLI Befehle auszuführen oder AWS API-Operationen aufzurufen, ohne dass Zugriffsschlüssel erforderlich sind. Weitere Informationen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Konfiguration der AWS CLI zu AWS IAM Identity Center verwendenden.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Informationen zur Rotation von Zugriffsschlüsseln, die älter als 90 Tage sind, finden Sie unter Rotieren von Zugriffsschlüsseln im IAM-Benutzerhandbuch. Folgen Sie den Anweisungen für alle Benutzer, deren Zugriffsschlüssel älter als 90 Tage ist.

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-root-access-key-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob der Root-Benutzerzugriffsschlüssel vorhanden ist.

Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. AWS Zugriffstasten ermöglichen den programmatischen Zugriff auf ein bestimmtes Konto.

Security Hub empfiehlt, dass Sie alle Zugriffsschlüssel entfernen, die dem Root-Benutzer zugeordnet sind. Dies schränkt die Vektoren ein, die verwendet werden können, um Ihr Konto zu gefährden. Darüber hinaus fördert es die Erstellung und Verwendung rollenbasierter Konten nach dem Prinzip der minimalen Rechte.

Abhilfe

Informationen zum Löschen des Root-Benutzerzugriffsschlüssels finden Sie unter Löschen von Zugriffsschlüsseln für den Root-Benutzer im IAM-Benutzerhandbuch. Informationen zum Löschen der Root-Benutzerzugriffsschlüssel aus einem AWS-Konto IN AWS GovCloud (US) finden Sie unter Löschen der Root-Benutzerzugriffsschlüssel für mein AWS GovCloud (US) Konto im AWS GovCloud (US) Benutzerhandbuch.

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::User

AWS Config -Regel: mfa-enabled-for-iam-console-access

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob die AWS Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist, die ein Konsolenkennwort verwenden.

Multi-Factor Authentication (MFA) bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Wenn MFA aktiviert ist, wird ein Benutzer, wenn er sich auf einer AWS Website anmeldet, zur Eingabe seines Benutzernamens und Kennworts aufgefordert. Darüber hinaus werden sie von ihrem AWS MFA-Gerät zur Eingabe eines Authentifizierungscodes aufgefordert.

Es wird empfohlen, MFA für alle Konten zu aktivieren, die über ein Konsolenpasswort verfügen. MFA wurde entwickelt, um mehr Sicherheit für den Konsolenzugriff zu bieten. Der authentifizierende Prinzipal muss über ein Gerät verfügen, das einen zeitkritischen Schlüssel ausgibt und Kenntnisse über Anmeldeinformationen haben muss.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Informationen zum Hinzufügen von MFA für IAM-Benutzer finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im IAM-Benutzerhandbuch.

Wir bieten berechtigten Kunden einen kostenlosen MFA-Sicherheitsschlüssel an. Prüfen Sie, ob Sie sich qualifizieren, und bestellen Sie Ihren kostenlosen Schlüssel.

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: root-account-hardware-mfa-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement überprüft, ob Sie AWS-Konto für die Verwendung eines Hardware-Geräts mit Multi-Faktor-Authentifizierung (MFA) aktiviert sind, um sich mit Root-Benutzeranmeldedaten anzumelden. Die Steuerung schlägt fehl, wenn MFA nicht aktiviert ist oder wenn virtuelle MFA-Geräte sich mit Root-Benutzeranmeldedaten anmelden dürfen.

Eine virtuelle MFA bietet möglicherweise nicht das gleiche Sicherheitsniveau wie ein Hardware-MFA-Gerät. Es wird empfohlen, dass Sie nur ein virtuelles MFA-Gerät verwenden, während Sie auf die Genehmigung des Hardware-Kaufs oder auf die Ankunft Ihrer Hardware warten. Weitere Informationen finden Sie unter Aktivieren eines Geräts (Konsole) mit virtueller Multi-Faktor-Authentifizierung (MFA) im IAM-Benutzerhandbuch.

Sowohl zeitbasierte Einmalkennwörter (TOTP) als auch Universal 2nd Factor (U2F) -Token eignen sich als Hardware-MFA-Optionen.

Abhilfe

Informationen zum Hinzufügen eines Hardware-MFA-Geräts für den Root-Benutzer finden Sie unter Aktivieren eines Hardware-MFA-Geräts für den AWS-Konto Root-Benutzer (Konsole) im IAM-Benutzerhandbuch.

Wir bieten berechtigten Kunden einen kostenlosen MFA-Sicherheitsschlüssel an. Prüfen Sie, ob Sie sich qualifizieren, und bestellen Sie Ihren kostenlosen Schlüssel.

[IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 PCI DSS NIST.800-53.r5 IA-5 v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

RequireUppercaseCharacters

Das Passwort muss mindestens einen Großbuchstaben enthalten

Boolesch

true oder false

true

RequireLowercaseCharacters

Das Passwort muss mindestens einen Kleinbuchstaben enthalten

Boolesch

true oder false

true

RequireSymbols

Das Passwort muss mindestens ein Symbol enthalten

Boolesch

true oder false

true

RequireNumbers

Das Passwort muss mindestens eine Zahl enthalten

Boolesch

true oder false

true

MinimumPasswordLength

Mindestanzahl von Zeichen im Passwort

Ganzzahl

8 auf 128

8

PasswordReusePrevention

Anzahl der Passwortrotationen, bevor ein altes Passwort wiederverwendet werden kann

Ganzzahl

12 auf 24

Kein Standardwert

MaxPasswordAge

Anzahl der Tage bis zum Ablauf des Passworts

Ganzzahl

1 auf 90

Kein Standardwert

Dieses Steuerelement prüft, ob die Kontopasswortrichtlinie für IAM-Benutzer starke Konfigurationen verwendet. Die Steuerung schlägt fehl, wenn die Kennwortrichtlinie keine starken Konfigurationen verwendet. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, verwendet Security Hub die in der vorherigen Tabelle genannten Standardwerte. Die MaxPasswordAge Parameter PasswordReusePrevention und haben keinen Standardwert. Wenn Sie diese Parameter ausschließen, ignoriert Security Hub bei der Auswertung dieser Steuerung die Anzahl der Kennwortrotationen und das Kennwortalter.

Für den Zugriff auf AWS Management Console benötigen IAM-Benutzer Passwörter. Als bewährte Methode empfiehlt Security Hub dringend, anstelle der Erstellung von IAM-Benutzern den Verbund zu verwenden. Mit dem Verbund können sich Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen bei der AWS Management Console anmelden. Verwenden Sie AWS IAM Identity Center (IAM Identity Center), um den Benutzer zu erstellen oder zu verbinden, und übernehmen Sie dann eine IAM-Rolle für ein Konto.

Weitere Informationen zu Identitätsanbietern und Verbund finden Sie unter Identitätsanbieter und Verbund im IAM-Benutzerhandbuch. Weitere Informationen zu IAM Identity Center finden Sie im AWS IAM Identity Center Benutzerhandbuch.

Wenn Sie IAM-Benutzer verwenden müssen, empfiehlt Security Hub, die Erstellung sicherer Benutzerkennwörter zu erzwingen. Sie können auf Ihrem Computer eine Passwortrichtlinie einrichten AWS-Konto , um die Komplexitätsanforderungen und die obligatorischen Rotationsperioden für Passwörter festzulegen. Wenn Sie eine Kennwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen der Kennwortrichtlinie durchgesetzt, wenn Benutzer ihre Passwörter das nächste Mal ändern. Einige Einstellungen werden sofort durchgesetzt.

Abhilfe

Informationen zur Aktualisierung Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch.

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

Verwandte Anforderungen: PCI DSS v3.2.1/8.1.4, PCI DSS v4.0.1/8.2.6, CIS AWS Foundations Benchmark v1.2.0/1.3,, (1), (3), (15), (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::User

AWS Config -Regel: iam-user-unused-credentials-check

Art des Zeitplans: Periodisch

Parameter:

  • maxCredentialUsageAge: 90 (nicht anpassbar)

Dieses Steuerelement prüft, ob Ihre IAM-Benutzer über Passwörter oder aktive Zugriffsschlüssel verfügen, die seit 90 Tagen nicht verwendet wurden.

IAM-Benutzer können mit verschiedenen Arten von Anmeldeinformationen wie Passwörtern oder Zugriffsschlüsseln auf AWS Ressourcen zugreifen.

Security Hub empfiehlt, alle Anmeldeinformationen zu entfernen oder zu deaktivieren, die 90 Tage oder länger nicht verwendet wurden. Durch das Deaktivieren oder Entfernen unnötiger Anmeldeinformationen reduzieren Sie den möglichen Schaden, der mit den Anmeldeinformationen eines kompromittierten oder ungenutzten Kontos angerichtet werden kann.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Wenn Sie Benutzerinformationen in der IAM-Konsole anzeigen, gibt es Spalten für das Alter des Zugriffsschlüssels, das Alter des Kennworts und die letzte Aktivität. Wenn der Wert in einer dieser Spalten mehr als 90 Tage beträgt, sollten Sie die Anmeldeinformationen für diese Benutzer deaktivieren.

Sie können auch Berichte mit Anmeldeinformationen verwenden, um Benutzer zu überwachen und Benutzer zu identifizieren, die 90 oder mehr Tage lang keine Aktivität mehr hatten. Sie können Berichte über Anmeldeinformationen im .csv Format von der IAM-Konsole herunterladen.

Nachdem Sie die inaktiven Konten oder ungenutzten Anmeldeinformationen identifiziert haben, deaktivieren Sie sie. Anweisungen finden Sie im IAM-Benutzerhandbuch unter Erstellen, Ändern oder Löschen eines IAM-Benutzerkennworts (Konsole).

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS AWS Foundations Benchmark v1.4.0/1.5, CIS Foundations Benchmark v1.2.0/1.13, (1), (15), (1), (2), ( AWS 6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: root-account-mfa-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, damit sich der IAM-Root-Benutzer eines bei AWS-Konto dem anmelden kann. AWS Management Console Die Steuerung schlägt fehl, wenn MFA für den Root-Benutzer des Kontos nicht aktiviert ist.

Der IAM-Root-Benutzer von AWS-Konto hat vollständigen Zugriff auf alle Dienste und Ressourcen im Konto. Wenn MFA aktiviert ist, muss der Benutzer einen Benutzernamen, ein Passwort und einen Authentifizierungscode von seinem AWS MFA-Gerät eingeben, um sich bei dem anzumelden. AWS Management Console MFA fügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu.

Diese Kontrolle generiert PASSED Ergebnisse in den folgenden Fällen:

  • Root-Benutzeranmeldeinformationen sind im Konto vorhanden und MFA ist für den Root-Benutzer aktiviert.

  • Root-Benutzeranmeldedaten sind im Konto nicht vorhanden.

Das Steuerelement generiert FAILED Ergebnisse, wenn Root-Benutzeranmeldeinformationen im Konto vorhanden sind und MFA für den Root-Benutzer nicht aktiviert ist.

Abhilfe

Informationen zur Aktivierung von MFA für den Root-Benutzer eines AWS-Konto finden Sie unter Multi-Faktor-Authentifizierung für den Root-Benutzer des AWS-Kontos im AWS Identity and Access Management Benutzerhandbuch.

[IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

Verwandte Anforderungen: PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5, PCI DSS v4.0.1/8.3.6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob die Kontopasswortrichtlinie für IAM-Benutzer die folgenden PCI-DSS-Mindestkonfigurationen verwendet.

  • RequireUppercaseCharacters— Das Passwort muss mindestens einen Großbuchstaben enthalten. (Standardwert = true)

  • RequireLowercaseCharacters— Das Passwort muss mindestens einen Kleinbuchstaben enthalten. (Standardwert = true)

  • RequireNumbers— Erfordert mindestens eine Zahl im Passwort. (Standardwert = true)

  • MinimumPasswordLength— Mindestlänge des Passworts. (Standard = 7 oder länger)

  • PasswordReusePrevention— Anzahl der Passwörter, bevor die Wiederverwendung zulässig ist. (Standard = 4)

  • MaxPasswordAge— Anzahl der Tage bis zum Ablauf des Passworts. (Standard = 90)

Abhilfe

Informationen zur Aktualisierung Ihrer Kennwortrichtlinie zur Verwendung der empfohlenen Konfiguration finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch.

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.5, PCI DSS v4.0.1/8.3.6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass die Kennwortrichtlinie mindestens einen Großbuchstaben erfordert. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Wählen Sie unter Passwortsicherheit die Option Mindestens einen Großbuchstaben des lateinischen Alphabets erforderlich (A—Z) aus.

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.6, PCI DSS v4.0.1/8.3.6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden. CIS empfiehlt, dass die Kennwortrichtlinie mindestens einen Kleinbuchstaben erfordert. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Wählen Sie unter Passwortstärke die Option Mindestens einen Kleinbuchstaben des lateinischen Alphabets erforderlich (A—Z) aus.

[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.7, PCI DSS v4.0.1/8.3.6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass für die Kennwortrichtlinie mindestens ein Symbol erforderlich ist. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Wählen Sie unter Passwortstärke die Option Mindestens ein nichtalphanumerisches Zeichen erforderlich aus.

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.8, PCI DSS v4.0.1/8.3.6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass für die Kennwortrichtlinie mindestens eine Zahl erforderlich ist. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Wählen Sie unter Passwortstärke die Option Mindestens eine Zahl erforderlich aus.

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 AWS

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter mindestens eine bestimmte Länge haben.

CIS empfiehlt, dass die Kennwortrichtlinie eine Mindestkennwortlänge von 14 Zeichen vorschreibt. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Geben Sie für die Mindestlänge des Kennworts eine 14 oder eine größere Zahl ein.

[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, PCI DSS v4.0.1/8.3.7 AWS

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement überprüft, ob die Anzahl der Passwörter, die Sie sich merken müssen, auf 24 gesetzt ist. Die Steuerung schlägt fehl, wenn der Wert nicht 24 ist.

IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Benutzer verhindern.

CIS empfiehlt, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert. Das Verhindern der Wiederverwendung von Passwörtern steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Geben Sie für „Wiederverwendung von Passwörtern verhindern“ ein. 24

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-password-policy

Art des Zeitplans: Periodisch

Parameter: Keine

IAM-Passwortrichtlinien können vorschreiben, dass Passwörter nach einer bestimmten Anzahl von Tagen ausgetauscht werden oder abgelaufen sind.

CIS empfiehlt, dass die Kennwortrichtlinie Passwörter nach 90 Tagen oder weniger abläuft. Das Reduzieren der Lebensdauer von Passwörtern steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche. Darüber hinaus ist es in folgenden Situationen hilfreich, wenn regelmäßige Passwortänderungen gefordert werden:

  • Passwörter können ohne Ihr Wissen gestohlen oder kompromittiert werden. Dies kann durch eine Systemkompromittierung, eine Softwareschwachstelle oder eine interne Bedrohung erfolgen.

  • Bestimmte Web-Filter oder Proxy-Server von Unternehmen und Behörden können Datenverkehr abfangen und erfassen, selbst wenn er verschlüsselt ist.

  • Viele Menschen verwenden dasselbe Passwort für viele Systeme, z. B. für die Arbeit, E-Mails und den privaten Gebrauch.

  • Auf kompromittierten Endbenutzer-Workstations kann ein Keylogger vorhanden sein.

Abhilfe

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer im IAM-Benutzerhandbuch. Geben Sie für „Ablauf des Kennworts aktivieren“ eine kleinere 90 Zahl oder ein.

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, PCI DSS v4.0.1/12.10.3 AWS

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::::Account

AWS Config -Regel: iam-policy-in-use

Art des Zeitplans: Periodisch

Parameter:

  • policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (nicht anpassbar)

  • policyUsageType: ANY (nicht anpassbar)

AWS bietet ein Support-Center, das für die Benachrichtigung und Reaktion auf Vorfälle sowie für technischen Support und Kundendienst genutzt werden kann.

Erstellen Sie eine IAM-Rolle, damit autorisierte Benutzer Vorfälle mit AWS Support verwalten können. Durch die Implementierung von Least-Privilegien für die Zugriffskontrolle erfordert eine IAM-Rolle eine entsprechende IAM-Richtlinie, die den Zugriff auf das Supportcenter ermöglicht, damit Vorfälle bearbeitet werden können. Support

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Um dieses Problem zu beheben, erstellen Sie eine Rolle, die es autorisierten Benutzern ermöglicht, Support Vorfälle zu verwalten.

Um die Rolle zu erstellen, die für Support den Zugriff verwendet werden soll

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im IAM-Navigationsbereich Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie als Rollentyp die Option Andere AWS-Konto aus.

  4. Geben Sie unter Konto-ID die AWS-Konto ID der AWS-Konto Person ein, der Sie Zugriff auf Ihre Ressourcen gewähren möchten.

    Wenn sich die Benutzer oder Gruppen, die diese Rolle übernehmen, im selben Konto befinden, geben Sie die lokale Kontonummer ein.

    Anmerkung

    Der Administrator des angegebenen Kontos kann die Berechtigung erteilen, diese Rolle für alle -Benutzer in diesem Konto zu übernehmen. Hierzu fügt der Administrator eine Richtlinie an den Benutzer oder eine Gruppe an, mit der die Berechtigung für die Aktion sts:AssumeRole gewährt wird. In dieser Richtlinie muss die Ressource der Rollen-ARN sein.

  5. Wählen Sie Weiter: Berechtigungen aus.

  6. Suchen Sie nach der verwalteten Richtlinie AWSSupportAccess.

  7. Wählen Sie das Kontrollkästchen für die verwaltete AWSSupportAccess-Richtlinie aus.

  8. Wählen Sie Weiter: Tags aus.

  9. (Optional) Um der Rolle Metadaten hinzuzufügen, fügen Sie Tags als Schlüssel-Wert-Paare hinzu.

    Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tagging von IAM-Benutzern und -Rollen im IAM-Benutzerhandbuch.

  10. Klicken Sie auf Next: Review (Weiter: Prüfen).

  11. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein.

    Rollennamen müssen innerhalb Ihrer eindeutig sein. AWS-Konto Sie unterscheiden nicht zwischen Groß- und Kleinschreibung.

  12. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  13. Prüfen Sie die Rolle und klicken Sie dann auf Create role (Rolle erstellen).

Mehr anzeigenWeniger anzeigen

[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::User

AWS Config -Regel: iam-user-mfa-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob die IAM-Benutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert haben.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Informationen zum Hinzufügen von MFA für IAM-Benutzer finden Sie unter Aktivieren von MFA-Geräten für Benutzer AWS im IAM-Benutzerhandbuch.

[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers

Wichtig

Security Hub hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter Änderungsprotokoll für Security Hub-Steuerelemente.

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/1.1

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::IAM::User

AWS Config Regel: use-of-root-account-test (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob für an AWS-Konto Beschränkungen für die Nutzung des Root-Benutzers gelten. Das Steuerelement bewertet die folgenden Ressourcen:

  • Amazon Simple Notification Service (Amazon SNS)-Themen

  • AWS CloudTrail Wanderwege

  • Mit den CloudTrail Pfaden verknüpfte metrische Filter

  • CloudWatch Amazon-Alarme basierend auf den Filtern

Bei dieser Prüfung wird FAILED festgestellt, ob eine oder mehrere der folgenden Aussagen zutreffen:

  • Auf dem Konto sind keine CloudTrail Spuren vorhanden.

  • Ein CloudTrail Trail ist aktiviert, aber nicht mit mindestens einem Trail für mehrere Regionen konfiguriert, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst.

  • Ein CloudTrail Trail ist aktiviert, aber keiner CloudWatch Logs-Protokollgruppe zugeordnet.

  • Der vom Center for Internet Security (CIS) vorgeschriebene exakte metrische Filter wird nicht verwendet. Der vorgeschriebene metrische Filter ist'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.

  • In dem Konto sind keine CloudWatch Alarme vorhanden, die auf dem metrischen Filter basieren.

  • CloudWatch Alarme, die so konfiguriert sind, dass sie Benachrichtigungen an das zugehörige SNS-Thema senden, werden nicht aufgrund der Alarmbedingung ausgelöst.

  • Das SNS-Thema entspricht nicht den Einschränkungen für das Senden einer Nachricht an ein SNS-Thema.

  • Das SNS-Thema hat nicht mindestens einen Abonnenten.

Diese Prüfung führt zu einem Kontrollstatus, der NO_DATA angibt, ob eine oder mehrere der folgenden Aussagen zutreffen:

  • Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

  • Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

Diese Prüfung führt zu einem Kontrollstatus, der WARNING angibt, ob eine oder mehrere der folgenden Aussagen zutreffen:

  • Das aktuelle Konto ist nicht Eigentümer des SNS-Themas, auf das in der CloudWatch Warnung verwiesen wird.

  • Das Girokonto hat beim Aufrufen der SNS-API keinen Zugriff auf das SNS-Thema. ListSubscriptionsByTopic

Anmerkung

Wir empfehlen, Organization Trails zu verwenden, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern ausgewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Es hat sich bewährt, Ihre Root-Benutzeranmeldedaten nur dann zu verwenden, wenn dies für die Konto- und Serviceverwaltung erforderlich ist. Wenden Sie IAM-Richtlinien direkt auf Gruppen und Rollen an, jedoch nicht auf Benutzer. Anweisungen zur Einrichtung eines Administrators für den täglichen Gebrauch finden Sie im IAM-Benutzerhandbuch unter Erstellen Ihres ersten IAM-Admin-Benutzers und Ihrer ersten Gruppe.

Abhilfe

Zu den Schritten zur Behebung dieses Problems gehören die Einrichtung eines Amazon SNS SNS-Themas, eines CloudTrail Trails, eines Metrikfilters und eines Alarms für den Metrikfilter.

Erstellen eines Amazon SNS-Themas

  1. Öffnen Sie die Amazon SNS SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

  2. Erstellen Sie ein Amazon SNS SNS-Thema, das alle CIS-Alarme empfängt.

    Erstellen Sie mindestens einen Abonnenten für das Thema. Weitere Informationen finden Sie unter Erste Schritte mit Amazon SNS im Benutzerhandbuch für Amazon Simple Notification Service.

Richten Sie als Nächstes eine aktive Option ein CloudTrail , die für alle Regionen gilt. Um dies zu tun, befolgen Sie die Schritte in [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst.

Notieren Sie sich den Namen der Protokollgruppe CloudWatch Logs, die Sie dem CloudTrail Trail zuordnen. Sie erstellen den Metrikfilter für diese Protokollgruppe.

Erstellen Sie abschließend den metrischen Filter und den Alarm.

Erstellen eines Metrikfilters und Alarms

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Protokollgruppen aus.

  3. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe CloudWatch Logs, die dem von Ihnen erstellten CloudTrail Trail zugeordnet ist.

  4. Wählen Sie unter Aktionen die Option Metrikfilter erstellen aus.

  5. Gehen Sie unter Muster definieren wie folgt vor:

    1. Kopieren Sie das folgende Muster und fügen Sie es dann in das Feld Filter Pattern (Filtermuster) ein.

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    2. Wählen Sie Weiter.

  6. Gehen Sie unter Metrik zuweisen wie folgt vor:

    1. Geben Sie im Feld Filtername einen Namen für Ihren Metrikfilter ein.

    2. Geben LogMetrics Sie für Metric Namespace den Wert ein.

      Wenn Sie denselben Namespace für alle Ihre CIS-Log-Metrikfilter verwenden, werden alle CIS-Benchmark-Metriken zusammen gruppiert.

    3. Geben Sie unter Metrikname einen Namen für die Metrik ein. Merken Sie sich den Namen der Metrik. Sie müssen die Metrik auswählen, wenn Sie den Alarm erstellen.

    4. Geben Sie für Metric value (Metrikwert) 1 ein.

    5. Wählen Sie Weiter.

  7. Überprüfen Sie unter Überprüfen und erstellen die Informationen, die Sie für den neuen Metrikfilter angegeben haben. Wählen Sie dann Metrikfilter erstellen aus.

  8. Wählen Sie im Navigationsbereich Protokollgruppen und dann den Filter aus, den Sie unter Metrikfilter erstellt haben.

  9. Aktivieren Sie das Kontrollkästchen für den Filter. Wählen Sie Alarm erstellen aus.

  10. Gehen Sie unter Metrik und Bedingungen angeben wie folgt vor:

    1. Wählen Sie unter Bedingungen für Schwellenwert die Option Statisch aus.

    2. Wählen Sie unter Alarmbedingung definieren die Option Größer/Gleich aus.

    3. Geben Sie unter Schwellenwert definieren den Wert ein. 1

    4. Wählen Sie Weiter.

  11. Gehen Sie unter Aktionen konfigurieren wie folgt vor:

    1. Wählen Sie unter Auslöser für den Alarmstatus die Option Bei Alarm aus.

    2. Wählen Sie unter Select an SNS topic (SNS-Thema auswählen) die Option Select an existing SNS topic (Vorhandenes SNS-Thema auswählen) aus.

    3. Geben Sie unter Benachrichtigung senden an den Namen des SNS-Themas ein, das Sie im vorherigen Verfahren erstellt haben.

    4. Wählen Sie Weiter.

  12. Geben Sie unter Namen und Beschreibung hinzufügen einen Namen und eine Beschreibung für den Alarm ein, z. B. CIS-1.1-RootAccountUsage Wählen Sie anschließend Weiter.

  13. Überprüfen Sie unter Vorschau und Erstellung die Alarmkonfiguration. Wählen Sie anschließend Create alarm (Alarm erstellen) aus.

Mehr anzeigenWeniger anzeigen

[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7),,, NIST.800-53.r5 AC-3 (10) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-6

Kategorie: Erkennen > Sicheres Zugriffsmanagement

Schweregrad: Niedrig

Art der Ressource: AWS::IAM::Policy

AWS Config -Regel: iam-policy-no-statements-with-full-access

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • excludePermissionBoundaryPolicy: True (nicht anpassbar)

Dieses Steuerelement prüft, ob die identitätsbasierten IAM-Richtlinien, die Sie erstellen, über Allow-Anweisungen verfügen, die den Platzhalter „*“ verwenden, um Berechtigungen für alle Aktionen in einem Dienst zu gewähren. Das Steuerelement schlägt fehl, wenn eine Richtlinienanweisung mit enthält. "Effect": "Allow" "Action": "Service:*"

Beispielsweise führt die folgende Aussage in einer Richtlinie zu einem fehlgeschlagenen Ergebnis.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Das Steuerelement schlägt auch fehl, wenn Sie "Effect": "Allow" mit verwenden"NotAction": "service:*". In diesem Fall bietet das NotAction Element Zugriff auf alle Aktionen in einem AWS-Service, mit Ausnahme der in angegebenen AktionenNotAction.

Diese Kontrolle gilt nur für vom Kunden verwaltete IAM-Richtlinien. Sie gilt nicht für IAM-Richtlinien, die von verwaltet werden. AWS

Wenn Sie Berechtigungen zuweisen AWS-Services, ist es wichtig, dass Sie den Umfang der zulässigen IAM-Aktionen in Ihren IAM-Richtlinien angeben. Sie sollten IAM-Aktionen nur auf die Aktionen beschränken, die benötigt werden. Auf diese Weise können Sie Berechtigungen mit den geringsten Rechten bereitstellen. Zu freizügige Richtlinien können zu einer Eskalation von Rechten führen, wenn die Richtlinien einem IAM-Prinzipal zugeordnet sind, für den die Genehmigung möglicherweise nicht erforderlich ist.

In einigen Fällen möchten Sie möglicherweise IAM-Aktionen zulassen, die ein ähnliches Präfix haben, z. B. und. DescribeFlowLogs DescribeAvailabilityZones In diesen autorisierten Fällen können Sie dem allgemeinen Präfix einen Platzhalter mit einem Suffix hinzufügen. Beispiel, ec2:Describe*.

Dieses Steuerelement ist erfolgreich, wenn Sie eine IAM-Aktion mit einem Präfix und einem Platzhalter mit Suffix verwenden. Beispielsweise führt die folgende Anweisung in einer Richtlinie zu einem erfolgreichen Ergebnis.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Wenn Sie verwandte IAM-Aktionen auf diese Weise gruppieren, können Sie auch verhindern, dass die Größenbeschränkungen der IAM-Richtlinie überschritten werden.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Um dieses Problem zu beheben, aktualisieren Sie Ihre IAM-Richtlinien, sodass sie keine vollen „*“ -Administratorrechte zulassen. Einzelheiten zur Bearbeitung einer IAM-Richtlinie finden Sie unter Bearbeiten von IAM-Richtlinien im IAM-Benutzerhandbuch.

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/1.12, CIS Foundations Benchmark v1.4.0/1.12 AWS

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::User

AWS Config Regel: iam-user-unused-credentials-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Ihre IAM-Benutzer über Passwörter oder aktive Zugriffsschlüssel verfügen, die 45 Tage oder länger nicht verwendet wurden. Zu diesem Zweck wird geprüft, ob der maxCredentialUsageAge Parameter der AWS Config Regel 45 oder mehr beträgt.

Benutzer können mit verschiedenen Arten von Anmeldeinformationen wie Kennwörtern oder Zugriffsschlüsseln auf AWS Ressourcen zugreifen.

CIS empfiehlt, alle Anmeldeinformationen zu entfernen oder zu deaktivieren, die 45 Tage oder länger nicht verwendet wurden. Durch das Deaktivieren oder Entfernen unnötiger Anmeldeinformationen reduzieren Sie den möglichen Schaden, der mit den Anmeldeinformationen eines kompromittierten oder ungenutzten Kontos angerichtet werden kann.

Die AWS Config Regel für dieses Steuerelement verwendet die Operationen GetCredentialReportund GenerateCredentialReportAPI, die nur alle vier Stunden aktualisiert werden. Es kann bis zu vier Stunden dauern, bis Änderungen an IAM-Benutzern für dieses Steuerelement sichtbar sind.

Anmerkung

AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub verwenden. Sie können jedoch die Aufzeichnung globaler Ressourcen in einer einzigen Region aktivieren. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

Abhilfe

Wenn Sie Benutzerinformationen in der IAM-Konsole anzeigen, gibt es Spalten für das Alter des Zugriffsschlüssels, das Alter des Kennworts und die letzte Aktivität. Wenn der Wert in einer dieser Spalten mehr als 45 Tage beträgt, deaktivieren Sie die Anmeldeinformationen für diese Benutzer.

Sie können auch Berichte über Anmeldeinformationen verwenden, um Benutzer zu überwachen und Benutzer zu identifizieren, die 45 oder mehr Tage lang keine Aktivität hatten. Sie können Berichte über Anmeldeinformationen im .csv Format von der IAM-Konsole herunterladen.

Nachdem Sie die inaktiven Konten oder ungenutzten Anmeldeinformationen identifiziert haben, deaktivieren Sie sie. Anweisungen finden Sie im IAM-Benutzerhandbuch unter Erstellen, Ändern oder Löschen eines IAM-Benutzerkennworts (Konsole).

[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::AccessAnalyzer::Analyzer

AWS Config Regel: tagged-accessanalyzer-analyzer (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob ein von AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) verwalteter Analyzer über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter requiredTagKeys definiert sind. Das Steuerelement schlägt fehl, wenn der Analyzer keine Tagschlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Analyzer mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem Analyzer finden Sie unter TagResourcein der AWS IAM Access Analyzer API-Referenz.

[IAM.24] IAM-Rollen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::IAM::Role

AWS Config Regel: tagged-iam-role (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob eine AWS Identity and Access Management (IAM-) Rolle Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Das Steuerelement schlägt fehl, wenn die Rolle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Rolle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer IAM-Rolle finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.

[IAM.25] IAM-Benutzer sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::IAM::User

AWS Config Regel: tagged-iam-user (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob ein AWS Identity and Access Management (IAM-) Benutzer über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter requiredTagKeys definiert sind. Das Steuerelement schlägt fehl, wenn der Benutzer keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Benutzer mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem IAM-Benutzer finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.

[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

Verwandte Anforderungen: CIS Foundations Benchmark v3.0.0/1.19 AWS

Kategorie: Identifizieren > Konformität

Schweregrad: Mittel

Art der Ressource: AWS::IAM::ServerCertificate

AWS Config Regel: iam-server-certificate-expiration-check

Art des Zeitplans: Periodisch

Parameter: Keine

Mit dieser Steuerung wird geprüft, ob ein aktives SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS Serverzertifikat nicht entfernt wird.

Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in zu aktivieren AWS, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können IAM oder AWS Certificate Manager (ACM) verwenden, um Serverzertifikate zu speichern und bereitzustellen. Verwenden Sie IAM nur dann als Zertifikatsmanager, wenn Sie HTTPS-Verbindungen in einer Umgebung unterstützen müssen AWS-Region , die von ACM nicht unterstützt wird. IAM bietet eine sichere Verschlüsselungsmethode für Ihre privaten Schlüssel und speichert die verschlüsselte Version in einem SSL-Zertifikatspeicher in IAM. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen, Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter beziehen, damit Sie es verwenden können. AWS Sie können kein ACM-Zertifikat auf IAM hochladen. Darüber hinaus können Sie Ihre Zertifikate nicht von der IAM-Konsole aus verwalten. Durch das Entfernen abgelaufener SSL/TLS-Zertifikate wird das Risiko vermieden, dass versehentlich ein ungültiges Zertifikat für eine Ressource bereitgestellt wird, wodurch die Glaubwürdigkeit der zugrunde liegenden Anwendung oder Website beeinträchtigt werden kann.

Abhilfe

Informationen zum Entfernen eines Serverzertifikats aus IAM finden Sie unter Verwalten von Serverzertifikaten in IAM im IAM-Benutzerhandbuch.

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

Verwandte Anforderungen: CIS Foundations Benchmark v3.0.0/1.22 AWS

Kategorie: Schützen > Sichere Zugriffsverwaltung > Sichere IAM-Richtlinien

Schweregrad: Mittel

Ressourcentyp:AWS::IAM::Role,, AWS::IAM::User AWS::IAM::Group

AWS Config Regel: iam-policy-blacklisted-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • „policyArns“: „arn:aws:iam: :aws:“ policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Dieses Steuerelement prüft, ob eine IAM-Identität (Benutzer, Rolle oder Gruppe) mit der verwalteten Richtlinie verknüpft ist. AWS AWSCloudShellFullAccess Die Steuerung schlägt fehl, wenn die AWSCloudShellFullAccess Richtlinie an eine IAM-Identität angehängt ist.

AWS CloudShell bietet eine bequeme Möglichkeit, CLI-Befehle auszuführen AWS-Services. Die AWS verwaltete Richtlinie AWSCloudShellFullAccess bietet vollen Zugriff CloudShell auf und ermöglicht somit das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Benutzers und der CloudShell Umgebung. Innerhalb der CloudShell Umgebung verfügt ein Benutzer über Sudo-Berechtigungen und kann auf das Internet zugreifen. Das Anhängen dieser verwalteten Richtlinie an eine IAM-Identität gibt ihnen somit die Möglichkeit, Dateiübertragungssoftware zu installieren und Daten von externen Internetservern CloudShell zu verschieben. Wir empfehlen, dem Prinzip der geringsten Rechte zu folgen und Ihren IAM-Identitäten engere Berechtigungen zuzuweisen.

Abhilfe

Informationen zum Trennen der AWSCloudShellFullAccess Richtlinie von einer IAM-Identität finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

Verwandte Anforderungen: CIS Foundations Benchmark v3.0.0/1.20 AWS

Kategorie: Erkennen > Erkennungsdienste > Überwachung privilegierter Nutzung

Schweregrad: Hoch

Art der Ressource: AWS::AccessAnalyzer::Analyzer

AWS Config Regel: iam-external-access-analyzer-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob AWS-Konto ein externer Zugriffsanalysator für IAM Access Analyzer aktiviert ist. Die Steuerung schlägt fehl, wenn für das Konto in Ihrem aktuell ausgewählten AWS-Region Konto kein External Access Analyzer aktiviert ist.

Die externen Zugriffsanalysatoren von IAM Access Analyzer helfen dabei, Ressourcen wie Amazon Simple Storage Service (Amazon S3) -Buckets oder IAM-Rollen zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden. Auf diese Weise können Sie einen unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten vermeiden. IAM Access Analyzer ist regional und muss in jeder Region aktiviert sein. Um Ressourcen zu identifizieren, die gemeinsam mit externen Principals genutzt werden, analysiert ein Access Analyzer die ressourcenbasierten Richtlinien in Ihrer Umgebung anhand von logischen Argumenten. AWS Wenn Sie einen externen Zugriffsanalysator erstellen, können Sie ihn für Ihr gesamtes Unternehmen oder für einzelne Konten erstellen und aktivieren.

Anmerkung

Wenn ein Konto Teil einer Organisation in ist AWS Organizations, werden externe Zugriffsanalysatoren, die die Organisation als Vertrauenszone angeben und für die Organisation in der aktuellen Region aktiviert sind, bei dieser Steuerung nicht berücksichtigt. Wenn Ihre Organisation diese Art von Konfiguration verwendet, sollten Sie erwägen, diese Steuerung für einzelne Mitgliedskonten in Ihrer Organisation in der Region zu deaktivieren.

Abhilfe

Informationen zur Aktivierung eines External Access Analyzer in einer bestimmten Region finden Sie unter Erste Schritte mit IAM Access Analyzer im IAM-Benutzerhandbuch. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analyzer aktivieren.