Regionale Grenzwerte für Kontrollen

AWS Security Hub-Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Auf dieser Seite wird angezeigt, welche Steuerelemente in bestimmten Regionen nicht verfügbar sind. Ein Steuerelement erscheint nicht in der Liste der Steuerelemente in der Security Hub Hub-Konsole, wenn es in der Region, in der Sie angemeldet sind, nicht verfügbar ist. Die Ausnahme ist, wenn Sie in einer Aggregationsregion angemeldet sind. In diesem Fall können Sie Steuerelemente sehen, die in der Aggregationsregion oder in einer oder mehreren verknüpften Regionen verfügbar sind.

Inhalt

• USA Ost (Nord-Virginia)
• USA Ost (Ohio)
• USA West (Nordkalifornien)
• USA West (Oregon)
• Afrika (Kapstadt)
• Asien-Pazifik (Hongkong)
• Asien-Pazifik (Hyderabad)
• Asien-Pazifik (Jakarta)
• Asien-Pazifik (Mumbai)
• Asien-Pazifik (Melbourne)
• Asien-Pazifik (Osaka)
• Asien-Pazifik (Seoul)
• Asien-Pazifik (Singapur)
• Asien-Pazifik (Sydney)
• Asien-Pazifik (Tokio)
• Kanada (Zentral)
• China (Peking)
• China (Ningxia)
• Europa (Frankfurt)
• Europa (Irland)
• Europa (London)
• Europa (Milan)
• Europa (Paris)
• Europa (Spain)
• Europa (Stockholm)
• Europa (Zürich)
• Israel (Tel Aviv)
• Naher Osten (Bahrain)
• Naher Osten (UAE)
• Südamerika (São Paulo)
• AWS GovCloud (US-Ost)
• AWS GovCloud (US-West)

USA Ost (Nord-Virginia)

Die folgenden Steuerelemente werden in USA Ost (Nord-Virginia) nicht unterstützt.

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

USA Ost (Ohio)

Die folgenden Steuerelemente werden in US East (Ohio) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

USA West (Nordkalifornien)

Die folgenden Steuerelemente werden in USA West (Nordkalifornien) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

USA West (Oregon)

Die folgenden Steuerelemente werden in US West (Oregon) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Afrika (Kapstadt)

Die folgenden Steuerelemente werden in Afrika (Kapstadt) nicht unterstützt.

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Asien-Pazifik (Hongkong)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Hongkong) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Asien-Pazifik (Hyderabad)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Hyderabad) nicht unterstützt.

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS1.2] RDS DB-Instances sollten den öffentlichen Zugriff entsprechend der PubliclyAccessible AWS Config Dauer verbieten

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Asien-Pazifik (Jakarta)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Jakarta) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.2] ECS Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

• [ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS Cluster sollten Container Insights verwenden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Asien-Pazifik (Mumbai)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Mumbai) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Asien-Pazifik (Melbourne)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Melbourne) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.2] Bei ElastiCache (RedisOSS) -Cache-Clustern sollte das auto Upgrade der Nebenversion aktiviert sein

• [ElastiCache.3] Bei Replikationsgruppen ElastiCache (RedisOSS) sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben

• [IAM.11] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr vorschreibt

• [IAM.16] Stellen Sie sicher, dass die IAM Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [SSM.4] SSM Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Asien-Pazifik (Osaka)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Osaka) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.2] ECS Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

• [ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS Cluster sollten Container Insights verwenden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

• [Lambda.3] Lambda-Funktionen sollten in einem VPC

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Asien-Pazifik (Seoul)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Seoul) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Asien-Pazifik (Singapur)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Singapur) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Asien-Pazifik (Sydney)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Sydney) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Asien-Pazifik (Tokio)

Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Tokio) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Kanada (Zentral)

Die folgenden Steuerelemente werden in Kanada (Central) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

China (Peking)

Die folgenden Steuerelemente werden in China (Peking) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Wege sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten markiert werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routentabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumes sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN Gateways sollten markiert werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.13] ECS Dienste sollten mit Tags versehen werden

• [ECS.14] ECS Cluster sollten markiert werden

• [ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.5] EFS Access Points sollten markiert werden

• [EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.5] Die Überwachung des GuardDuty EKS Prüfprotokolls sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] Die AWS Private CA Stammzertifizierungsstelle sollte deaktiviert sein

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS DB-Instances sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS DB-Snapshots sollten mit Tags versehen werden

• [RDS.33] RDS DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

China (Ningxia)

Die folgenden Steuerelemente werden in China (Ningxia) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Wege sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten markiert werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routentabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumes sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN Gateways sollten markiert werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.13] ECS Dienste sollten mit Tags versehen werden

• [ECS.14] ECS Cluster sollten markiert werden

• [ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.5] Die Überwachung des GuardDuty EKS Prüfprotokolls sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

• [Lambda.3] Lambda-Funktionen sollten in einem VPC

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] Die AWS Private CA Stammzertifizierungsstelle sollte deaktiviert sein

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS DB-Instances sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS DB-Snapshots sollten mit Tags versehen werden

• [RDS.33] RDS DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Europa (Frankfurt)

Die folgenden Steuerelemente werden in Europa (Frankfurt) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Europa (Irland)

Die folgenden Steuerelemente werden in Europa (Irland) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Europa (London)

Die folgenden Steuerelemente werden in Europa (London) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Europa (Milan)

Die folgenden Steuerelemente werden in Europa (Mailand) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.12] ECS Cluster sollten Container Insights verwenden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Europa (Paris)

Die folgenden Steuerelemente werden in Europa (Paris) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Europa (Spain)

Die folgenden Steuerelemente werden in Europa (Spanien) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

• [EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

• [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

• [Lambda.3] Lambda-Funktionen sollten in einem VPC

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS1.2] RDS DB-Instances sollten den öffentlichen Zugriff entsprechend der PubliclyAccessible AWS Config Dauer verbieten

• [RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

• [RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

• [RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein

• [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Europa (Stockholm)

Die folgenden Steuerelemente werden in Europa (Stockholm) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Europa (Zürich)

Die folgenden Steuerelemente werden in Europa (Zürich) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

• [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Israel (Tel Aviv)

Die folgenden Steuerelemente werden in Israel (Tel Aviv) nicht unterstützt.

• [ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.2] Bei ElastiCache (RedisOSS) -Cache-Clustern sollte das auto Upgrade der Nebenversion aktiviert sein

• [ElastiCache.3] Bei Replikationsgruppen ElastiCache (RedisOSS) sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.7] Die Passwortrichtlinien für IAM Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben

• [IAM.11] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr vorschreibt

• [IAM.16] Stellen Sie sicher, dass die IAM Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] Die AWS Private CA Stammzertifizierungsstelle sollte deaktiviert sein

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren

• [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

• [SSM.4] SSM Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

• [WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein

Naher Osten (Bahrain)

Die folgenden Steuerelemente werden im Nahen Osten (Bahrain) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.20] Beide VPN Tunnel für eine AWS VPN Site-to-Site-Verbindung sollten aktiv sein

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

Naher Osten (UAE)

Die folgenden Steuerelemente werden im Nahen Osten nicht unterstützt (UAE).

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

• [DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen TLS

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

• [EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

• [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS

• [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.2] Bei ElastiCache (RedisOSS) -Cache-Clustern sollte das auto Upgrade der Nebenversion aktiviert sein

• [ElastiCache.3] Bei Replikationsgruppen ElastiCache (RedisOSS) sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

• [IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

• [KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

• [KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS Snapshot sollte privat sein

• [RDS1.2] RDS DB-Instances sollten den öffentlichen Zugriff entsprechend der PubliclyAccessible AWS Config Dauer verbieten

• [RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

• [RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden

• [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren

• [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren

• [S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

Südamerika (São Paulo)

Die folgenden Steuerelemente werden in Südamerika (São Paulo) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

AWS GovCloud (US-Ost)

Die folgenden Steuerelemente werden in AWS GovCloud (USA-Ost) nicht unterstützt.

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Wege sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten markiert werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routentabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumes sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN Gateways sollten markiert werden

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS Cluster sollten Container Insights verwenden

• [ECS.13] ECS Dienste sollten mit Tags versehen werden

• [ECS.14] ECS Cluster sollten markiert werden

• [ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein

• [ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.2] Bei ElastiCache (RedisOSS) -Cache-Clustern sollte das auto Upgrade der Nebenversion aktiviert sein

• [ElastiCache.3] Bei Replikationsgruppen ElastiCache (RedisOSS) sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden

• [IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [PCA.1] Die AWS Private CA Stammzertifizierungsstelle sollte deaktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS DB-Instances sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS DB-Snapshots sollten mit Tags versehen werden

• [RDS.33] RDS DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.4] SSM Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

• [WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein

AWS GovCloud (US-West)

Die folgenden Steuerelemente werden in AWS GovCloud (US-West) nicht unterstützt.

• [ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

• [APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

• [CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Wege sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS Zertifikate sollten mit einem Tag versehen werden

• [DMS.3] DMS Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS Replikationsinstanzen sollten markiert werden

• [DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden

• [DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS Endgeräte sollten verwenden SSL

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten markiert werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routentabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumes sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

• [EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN Gateways sollten markiert werden

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

• [ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

• [ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS Cluster sollten Container Insights verwenden

• [ECS.13] ECS Dienste sollten mit Tags versehen werden

• [ECS.14] ECS Cluster sollten markiert werden

• [ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS Access Points sollten markiert werden

• [EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

• [EKS.6] EKS Cluster sollten markiert werden

• [EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden

• [EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL

• [ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein

• [ElastiCache.2] Bei ElastiCache (RedisOSS) -Cache-Clustern sollte das auto Upgrade der Nebenversion aktiviert sein

• [ElastiCache.3] Bei Replikationsgruppen ElastiCache (RedisOSS) sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache (RedisOSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache (RedisOSS) -Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache (RedisOSS) -Replikationsgruppen vor Version 6.0 sollten Redis verwenden AUTH

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte mit Tags versehen werden

• [GuardDuty.4] GuardDuty Melder sollten markiert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

• [IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden

• [IAM.24] IAM Rollen sollten mit Tags versehen werden

• [IAM.25] IAM Benutzer sollten markiert werden

• [IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Core Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [PCA.1] Die AWS Private CA Stammzertifizierungsstelle sollte deaktiviert sein

• [RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

• [RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS DB-Cluster sollten markiert werden

• [RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS DB-Instances sollten markiert werden

• [RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS DB-Snapshots sollten mit Tags versehen werden

• [RDS.33] RDS DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SES.1] SES Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden

• [SQS.2] SQS Warteschlangen sollten mit Tags versehen werden

• [SSM.4] SSM Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein

• [WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein