View a markdown version of this page

Kontrollreferenz für Security Hub CSPM - AWSSecurity Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontrollreferenz für Security Hub CSPM

Diese Kontrollreferenz enthält eine Tabelle der verfügbaren AWS Security Hub CSPM-Steuerelemente mit Links zu weiteren Informationen zu den einzelnen Steuerelementen. In der Tabelle sind die Kontrollen in alphabetischer Reihenfolge nach der Kontroll-ID aufgeführt. Nur Steuerelemente, die von Security Hub CSPM aktiv verwendet werden, sind hier enthalten. Steuerelemente, die nicht mehr verwendet wurden, sind in der Tabelle nicht enthalten.

Die Tabelle enthält die folgenden Informationen für jedes Steuerelement:

  • ID der Sicherheitskontrolle — Diese ID gilt für alle Standards und gibt die AWS-Service Ressource an, auf die sich die Kontrolle bezieht. Die Security Hub CSPM-Konsole zeigt Security Control IDs an, unabhängig davon, ob Consolidated Control Findings in Ihrem Konto aktiviert oder deaktiviert ist. Die CSPM-Ergebnisse von Security Hub verweisen jedoch nur dann auf Sicherheitskontroll-IDs, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn konsolidierte Kontrollbefunde in Ihrem Konto deaktiviert sind, variieren einige Kontroll-IDs je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung von standardspezifischen Kontroll-IDs zu Sicherheitskontroll-IDs finden Sie unter. Wie sich die Konsolidierung auf Kontroll-IDs und Titel auswirkt

    Wenn Sie Automatisierungen für Sicherheitskontrollen einrichten möchten, empfehlen wir, anhand der Kontroll-ID und nicht anhand des Titels oder der Beschreibung zu filtern. Security Hub CSPM kann zwar gelegentlich Titel oder Beschreibungen von Steuerelementen aktualisieren, die Kontroll-IDs bleiben jedoch unverändert.

    Bei Kontroll-IDs können Zahlen übersprungen werden. Dies sind Platzhalter für future Kontrollen.

  • Titel der Sicherheitskontrolle — Dieser Titel gilt für alle Standards. In der Security Hub CSPM-Konsole werden Titel der Sicherheitskontrollen angezeigt, unabhängig davon, ob konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub verweisen jedoch nur dann auf Titel der Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, variieren einige Kontrolltitel je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung von standardspezifischen Kontroll-IDs zu Sicherheitskontroll-IDs finden Sie unter. Wie sich die Konsolidierung auf Kontroll-IDs und Titel auswirkt

  • Anwendbare Standards — Gibt an, für welche Standards eine Kontrolle gilt. Wählen Sie eine Kontrolle aus, um bestimmte Anforderungen aus Compliance-Frameworks von Drittanbietern zu überprüfen.

  • Schweregrad — Der Schweregrad einer Kontrolle gibt an, wie wichtig sie aus Sicherheitsgründen ist. Informationen darüber, wie Security Hub CSPM den Schweregrad der Kontrolle bestimmt, finden Sie unter. Schweregrade der Kontrollbefunde

  • Unterstützt benutzerdefinierte Parameter — Gibt an, ob das Steuerelement benutzerdefinierte Werte für einen oder mehrere Parameter unterstützt. Wählen Sie ein Steuerelement aus, um die Parameterdetails zu überprüfen. Weitere Informationen finden Sie unter Grundlegendes zu den Steuerparametern in Security Hub CSPM.

  • Zeitplantyp — Gibt an, wann die Kontrolle ausgewertet wird. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.

Wählen Sie ein Steuerelement aus, um weitere Details zu überprüfen. Die Kontrollen werden in alphabetischer Reihenfolge nach der Sicherheitskontroll-ID aufgelistet.

ID der Sicherheitskontrolle Titel der Sicherheitskontrolle Anwendbare Normen Schweregrad Unterstützt benutzerdefinierte Parameter Art des Zeitplans
Account.1 Sicherheitskontaktinformationen sollten für eine bereitgestellt werden AWS-Konto CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
Account.2 AWS-Kontosollte Teil einer AWS Organizations Organisation sein NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Regelmäßig
ACM.1 Importierte ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst und periodisch
ACM.2 Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
ACM.3 ACM-Zertifikate sollten gekennzeichnet sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Amplify.1 Amplify-Apps sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Amplify.2 Amplify-Zweige sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
APIGateway.1 API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
APIGateway.2 API Gateway, REST-API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden. AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
APIGateway.3 Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
APIGateway.4 API Gateway sollte mit einer WAF-Web-ACL verknüpft sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
APIGateway.5 API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
APIGateway.8 API-Gateway-Routen sollten einen Autorisierungstyp angeben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
APIGateway.9 Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
APIGateway.10 API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
APIGateway.11 API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
AppConfig.1 AWS AppConfigAnwendungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
AppConfig.2 AWS AppConfigKonfigurationsprofile sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
AppConfig.3 AWS AppConfigUmgebungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
AppConfig.4 AWS AppConfigErweiterungszuordnungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
AppFlow.1 AppFlow Amazon-Datenflüsse sollten gekennzeichnet werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
AppRunner.1 App Runner-Dienste sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
AppRunner.2 App Runner VPC-Konnektoren sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
AppSync.2 AWSAppSync sollte die Protokollierung auf Feldebene aktiviert haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
AppSync.4 AWSAppSync GraphQL-APIs sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
AppSync.5 AWSAppSync GraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
Athena.2 Athena-Datenkataloge sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Athena.3 Athena-Arbeitsgruppen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Athena.4 Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
AutoScaling.1 Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
AutoScaling.2 Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
AutoScaling.3 Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2-Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
Autoscaling.5 Amazon EC2 EC2-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
AutoScaling.6 Auto Scaling Scaling-Gruppen sollten mehrere Instanztypen in mehreren Availability Zones verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
AutoScaling.9 EC2 Auto Scaling Scaling-Gruppen sollten EC2-Startvorlagen verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
AutoScaling.10 EC2 Auto Scaling Scaling-Gruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Backup.1 AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Backup.2 AWS BackupWiederherstellungspunkte sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Backup.3 AWS BackupTresore sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Backup.4 AWS BackupBerichtspläne sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Backup.5 AWS BackupBackup-Pläne sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Batch.1 Batch-Job-Warteschlangen sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Batch.2 Richtlinien zur Batch-Planung sollten gekennzeichnet sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Batch.3 Batch-Computing-Umgebungen sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Batch.4 Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Bedrock.1 Amazon Bedrock-Datenquellen sollten mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
BedrockAgentCore.1 AgentCore Bedrock-Laufzeiten sollten mit dem VPC-Netzwerkmodus konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
BedrockAgentCore.2 Bedrock AgentCore Gateways sollten eine Autorisierung für eingehende Anfragen benötigen AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
BedrockAgentCore.3 Bedrock AgentCore Memory sollte mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt werden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
BedrockAgentCore.4 Bedrock AgentCore Gateway sollte mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt werden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
BedrockAgentCore.5 AgentCore Benutzerdefinierte Browser von Bedrock sollten den öffentlichen Netzwerkmodus nicht verwenden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
BedrockAgentCore.6 In den AgentCore benutzerdefinierten Browsern von Bedrock sollte die Sitzungsaufzeichnung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
BedrockAgentCore.7 Bedrock-Interpreter für AgentCore benutzerdefinierten Code sollten eine private Netzwerkkonfiguration verwenden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
CloudFormation.2 CloudFormation Stapel sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
CloudFormation.3 CloudFormation Bei Stacks sollte der Kündigungsschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
CloudFormation.4 CloudFormation Stacks sollten zugeordnete Servicerollen haben AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
CloudFront.1 CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
CloudFront.3 CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
CloudFront.4 CloudFront Bei Distributionen sollte Origin Failover konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
CloudFront.5 CloudFront Bei Distributionen sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
CloudFront.6 CloudFront Bei Distributionen sollte WAF aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
CloudFront.7 CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 NIEDRIG Nein Änderung ausgelöst
CloudFront.8 CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
CloudFront.9 CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
CloudFront.10 CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
CloudFront.12 CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
CloudFront.13 CloudFront Distributionen sollten Origin Access Control verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
CloudFront.14 CloudFront Verteilungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
CloudFront.15 CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
CloudFront.16 CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
CloudFront.17 CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte URLs und Cookies verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
CloudTrail.1 CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, AWS Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Regelmäßig
CloudTrail.2 CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS CIS Foundations Benchmark v1.4.0 Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
CloudTrail.3 Mindestens ein CloudTrail Trail sollte aktiviert sein NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 HIGH (HOCH) Nein Regelmäßig
CloudTrail.4 CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS NIEDRIG Nein Regelmäßig
CloudTrail.5 CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
CloudTrail.6 Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Grundlagen v1.4.0, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst und periodisch
CloudTrail.7 Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs für den CloudTrail S3-Bucket aktiviert ist CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS NIEDRIG Nein Regelmäßig
CloudTrail.9 CloudTrail Wege sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
CloudTrail.10 CloudTrail Datenspeicher für Ereignisse in Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
CloudWatch.1 Für die Verwendung des Root-Benutzers sollten ein Log-Metrikfilter und ein Alarm vorhanden sein Benchmark für AWS GUS-Grundlagen v1.4.0, Benchmark für AWS GUS-Grundlagen v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 NIEDRIG Nein Regelmäßig
CloudWatch.2 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind Benchmark v1.2.0 für CIS AWS Foundations, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.3 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind Benchmark AWS v1.2.0 für CIS Foundations NIEDRIG Nein Regelmäßig
CloudWatch.4 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.5 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.6 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.7 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden erstellten CMKs vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.8 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.9 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.10 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.11 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.12 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.13 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.14 Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 NIEDRIG Nein Regelmäßig
CloudWatch.15 CloudWatch Für Alarme sollten bestimmte Aktionen konfiguriert sein NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (HOCH) Ja Änderung ausgelöst
CloudWatch.16 CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
CloudWatch.17 CloudWatch Alarmaktionen sollten aktiviert sein NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
CodeArtifact.1 CodeArtifact Repositorien sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
CodeBuild.1 CodeBuild Die URLs des Bitbucket-Quell-Repositorys sollten keine vertraulichen Anmeldeinformationen enthalten AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
CodeBuild.2 CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
CodeBuild.3 CodeBuild S3-Protokolle sollten verschlüsselt sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, NIEDRIG Nein Änderung ausgelöst
CodeBuild.4 CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
CodeBuild.7 CodeBuild Exporte von Berichtsgruppen sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
CodeGuruProfiler.1 CodeGuru Profiler-Profiling-Gruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
CodeGuruReviewer.1 CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Cognito.1 In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Ja Änderung ausgelöst
Cognito.2 Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
Cognito.3 Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben AWSBewährte grundlegende Sicherheitsmethoden MITTEL Ja Änderung ausgelöst
Cognito.4 In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
Cognito.5 MFA sollte für Cognito-Benutzerpools aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
Cognito.6 In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
Config.1 AWS Configsollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS KRITISCH Ja Regelmäßig
Connect.1 Die Objekttypen von Connect Customer Profiles sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Connect.2 Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
DataFirehose.1 Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
DataSync.1 DataSync Für Aufgaben sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
DataSync.2 DataSync Aufgaben sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Detective.1 Verhaltensdiagramme von Detektiven sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
DMS.1 Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Regelmäßig
DMS.2 DMS-Zertifikate sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
DMS.3 DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
DMS.4 DMS-Replikationsinstanzen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
DMS.5 Subnetzgruppen für die DMS-Replikation sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
DMS.6 Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversion aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.7 Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.8 Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.9 DMS-Endpunkte sollten SSL verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.10 Auf DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.11 Auf DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.12 Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DMS.13 DMS-Replikationsinstanzen sollten so konfiguriert sein, dass sie mehrere Availability Zones verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
DocumentDB.1 Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
DocumentDB.2 Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
DocumentDB.3 Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
DocumentDB.4 Amazon DocumentDB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
DocumentDB.5 Für Amazon DocumentDB-Cluster sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
DocumentDB.6 Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
DynamoDB.1 DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
DynamoDB.2 In DynamoDB-Tabellen sollte Point-in-Time-Recovery aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
DynamoDB.3 DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
DynamoDB.4 DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
DynamoDB.5 DynamoDB-Tabellen sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
DynamoDB.6 DynamoDB DynamoDB-Tabellen sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
DynamoDB.7 DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
EC2.1 EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Regelmäßig
EC2.2 VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS HIGH (HOCH) Nein Änderung ausgelöst
EC2.3 Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
EC2.4 Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.6 Die VPC-Flussprotokollierung sollte in allen VPCs aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
EC2.7 Die EBS-Standardverschlüsselung sollte aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
EC2.8 EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
EC2.9 EC2-Instances sollten keine öffentliche IPv4-Adresse haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
EC2.10 Amazon EC2 sollte so konfiguriert sein, dass VPC-Endpunkte verwendet werden, die für den Amazon EC2-Service erstellt wurden. AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
EC2.12 Ungenutzte EC2-EIPs sollten entfernt werden PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
EC2.13 Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff zulassen. 0/0 oder: :/0 zu Port 22 CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (HOCH) Nein Änderung ausgelöst und periodisch
EC2.14 Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff zulassen. 0/0 oder: :/0 zu Port 3389 Benchmark AWS für CIS Foundations v1.2.0, PCI DSS v4.0.1 HIGH (HOCH) Nein Ausgelöste und periodische Änderung
EC2.15 EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, MITTEL Nein Änderung ausgelöst
EC2.16 Unbenutzte Network Access Control Lists sollten entfernt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, NIEDRIG Nein Änderung ausgelöst
EC2.17 EC2-Instances sollten nicht mehrere ENIs verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
EC2.18 Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (HOCH) Ja Änderung ausgelöst
EC2.19 Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 KRITISCH Nein Änderung ausgelöst und periodisch
EC2.20 Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
EC2.21 Netzwerk-ACLs sollten keinen Zugriff ab Version 0.0.0 zulassen. 0/0 zu Port 22 oder Port 3389 CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
EC2.22 Ungenutzte EC2-Sicherheitsgruppen sollten entfernt werden MITTEL Nein Regelmäßig
EC2.23 EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
EC2.24 Paravirtuelle EC2-Instance-Typen sollten nicht verwendet werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
EC2.25 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
EC2.28 EBS-Volumes sollten in einem Backup-Plan enthalten sein NIST SP 800-53 Rev. 5 NIEDRIG Ja Regelmäßig
EC2.33 EC2-Transit-Gateway-Anhänge sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.34 Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.35 EC2-Netzwerkschnittstellen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.36 EC2-Kunden-Gateways sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.37 EC2-Elastic-IP-Adressen sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.38 EC2-Instances sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.39 EC2-Internet-Gateways sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.40 EC2-NAT-Gateways sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.41 EC2-Netzwerk-ACLs sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.42 EC2-Routing-Tabellen sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.43 EC2-Sicherheitsgruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.44 EC2-Subnetze sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.45 EC2-Volumes sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.46 Amazon VPCs sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.47 Amazon VPC Endpoint Services sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.48 Amazon VPC-Flow-Logs sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.49 Amazon VPC-Peering-Verbindungen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.50 EC2-VPN-Gateways sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.51 Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
EC2.52 EC2-Transit-Gateways sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.53 EC2-Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff zulassen. 0/0 zu den Verwaltungsports des Remoteservers Benchmark für AWS CIS-Grundlagen v5.0.0, Benchmark für AWS CIS-Grundlagen v3.0.0, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
EC2.54 EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen Benchmark für AWS CIS-Grundlagen v5.0.0, Benchmark für AWS CIS-Grundlagen v3.0.0, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
EC2.55 VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.56 VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.57 VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.58 VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.60 VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
EC2.170 EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
EC2.171 Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
EC2.172 Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren AWSBewährte grundlegende Sicherheitsmethoden MITTEL Ja Änderung ausgelöst
EC2.173 EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
EC2.174 EC2-DHCP-Optionssätze sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.175 EC2-Startvorlagen sollten mit Tags versehen sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EC2.176 EC2-Präfixlisten sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.177 EC2-Traffic-Mirror-Sitzungen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.178 EC2-Traffic-Spiegelfilter sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.179 EC2-Traffic-Mirror-Ziele sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EC2.180 Bei EC2-Netzwerkschnittstellen sollte die source/destination Überprüfung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
EC2.181 EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
EC2.182 EBS-Snapshots sollten nicht öffentlich zugänglich sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
EC2.183 EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
ECR.1 Für private ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
ECR.2 Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ECR.3 Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ECR.4 Öffentliche ECR-Repositorien sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
ECR.5 ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
ECS.2 ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
ECS.3 ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
ECS.4 ECS-Container sollten ohne Zugriffsrechte ausgeführt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
ECS.5 ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
ECS.8 Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
ECS.9 ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
ECS.10 Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion ausgeführt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ECS.12 ECS-Cluster sollten Container Insights verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ECS.13 ECS-Dienste sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
ECS.14 ECS-Cluster sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
ECS.15 ECS-Aufgabendefinitionen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
ECS.16 ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
ECS.17 ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ECS.18 ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
ECS.19 ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
ECS.20 ECS-Aufgabendefinitionen sollten Nicht-Root-Benutzer in Linux-Containerdefinitionen konfigurieren AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
ECS.21 ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
EFS.1 Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
EFS.2 Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
EFS.3 EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
EFS.4 EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
EFS.5 EFS-Zugangspunkte sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EFS.6 EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
EFS.7 EFS EFS-Dateisystemen sollten automatische Backups aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
EFS.8 EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden CIS AWS Foundations Benchmark v5.0.0, Bewährte Methoden für AWS grundlegende Sicherheit MITTEL Ja Änderung ausgelöst
EKS.1 EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
EKS.2 EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
EKS.3 EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
EKS.6 EKS-Cluster sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EKS.7 Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EKS.8 Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
EKS.9 EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
ElastiCache.1 ElastiCache Bei Clustern (Redis OSS) sollten automatische Backups aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Ja Regelmäßig
ElastiCache.2 ElastiCache Bei Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
ElastiCache.3 ElastiCache Für Replikationsgruppen sollte automatisches Failover aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
ElastiCache.4 ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
ElastiCache.5 ElastiCache Replikationsgruppen sollten während der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
ElastiCache.6 ElastiCache (Redis OSS) Für Replikationsgruppen früherer Versionen sollte Redis OSS AUTH aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
ElastiCache.7 ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Regelmäßig
ElasticBeanstalk.1 In Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
ElasticBeanstalk.2 Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Ja Änderung ausgelöst
ElasticBeanstalk.3 Elastic Beanstalk sollte Logs streamen nach CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Ja Änderung ausgelöst
ELB.1 Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
ELB.2 Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
ELB.3 Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ELB.4 Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ELB.5 Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ELB.6 Für Anwendung, Gateway und Network Load Balancer sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ELB.7 Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
ELB.8 Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Konfiguration verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ELB.9 Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ELB.10 Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
ELB.12 Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ELB.13 Load Balancer für Anwendungen, Netzwerke und Gateways sollten sich über mehrere Availability Zones erstrecken AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
ELB.14 Der Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ELB.16 Application Load Balancers sollten mit einer AWS WAF-Web-ACL verknüpft sein NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ELB.17 Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ELB.18 Applications- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln. AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
ELB.21 Anwendungs- und Network Load Balancer Balancer-Zielgruppen sollten verschlüsselte Health Check-Protokolle verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
ELB.22 ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
EMR.1 Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
EMR.2 Die Einstellung „Öffentlichen Zugriff blockieren“ in Amazon EMR sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 KRITISCH Nein Regelmäßig
EMR.3 Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
EMR.4 Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ES.1 Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
ES.2 Elasticsearch-Domains sollten nicht öffentlich zugänglich sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Regelmäßig
ES.3 Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, MITTEL Nein Änderung ausgelöst
ES.4 Die Protokollierung von Elasticsearch-Domänenfehlern in CloudWatch Logs sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ES.5 Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ES.6 Elasticsearch-Domains sollten mindestens drei Datenknoten haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ES.7 Elasticsearch-Domains sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
ES.8 Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
ES.9 Elasticsearch-Domains sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
EventBridge.2 EventBridge Eventbusse sollten markiert sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
EventBridge.3 EventBridge An benutzerdefinierte Event-Busse sollte eine ressourcenbasierte Richtlinie angehängt sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
EventBridge.4 EventBridge Auf globalen Endpunkten sollte die Ereignisreplikation aktiviert sein NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
FraudDetector.1 Die Entitätstypen von Amazon Fraud Detector sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
FraudDetector.2 Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
FraudDetector.3 Die Ergebnisse von Amazon Fraud Detector sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
FraudDetector.4 Die Variablen von Amazon Fraud Detector sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
FSx.1 FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Regelmäßig
FSx.2 FSx for Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 NIEDRIG Nein Regelmäßig
FSx.3 FSx für OpenZFS-Dateisysteme sollten für die Bereitstellung konfiguriert werden Multi-AZ AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
FSx.4 FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ AWSBewährte grundlegende Sicherheitsmethoden MITTEL Ja Regelmäßig
FSx.5 FSx for Windows File Server Server-Dateisysteme sollten für Multi-AZ die Bereitstellung konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
Glue.1 AWS GlueJobs sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Glue.3 AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
Glue.4 AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
GlobalAccelerator.1 Global Accelerator-Beschleuniger sollten markiert sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
GuardDuty.1 GuardDuty sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
GuardDuty.2 GuardDuty Filter sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
GuardDuty.3 GuardDuty IPSets sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
GuardDuty.4 GuardDuty Melder sollten markiert sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
GuardDuty.5 GuardDuty EKS Audit Log Monitoring sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
GuardDuty.6 GuardDuty Lambda-Schutz sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
GuardDuty.7 GuardDuty EKS Runtime Monitoring sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
GuardDuty.8 GuardDuty Der Malware-Schutz für EC2 sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
GuardDuty.9 GuardDuty Der RDS-Schutz sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
GuardDuty.10 GuardDuty S3-Schutz sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
GuardDuty.11 GuardDuty Runtime Monitoring sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
GuardDuty.12 GuardDuty ECS Runtime Monitoring sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
GuardDuty.13 GuardDuty EC2 Runtime Monitoring sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
IAM.1 IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (HOCH) Nein Änderung ausgelöst
IAM.2 IAM-Benutzern sollten keine IAM-Richtlinien zugewiesen sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 NIEDRIG Nein Änderung ausgelöst
IAM.3 Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS MITTEL Nein Regelmäßig
IAM.4 Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS KRITISCH Nein Regelmäßig
IAM.5 MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS MITTEL Nein Regelmäßig
IAM.6 Hardware-MFA sollte für den Root-Benutzer aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS KRITISCH Nein Regelmäßig
IAM.7 Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Ja Regelmäßig
IAM.8 Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
IAM.9 MFA sollte für den Root-Benutzer aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS KRITISCH Nein Regelmäßig
IAM.10 Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 MITTEL Nein Regelmäßig
IAM.11 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert Benchmark für CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
IAM.12 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert Benchmark für CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
IAM.13 Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist Benchmark v1.2.0 für CIS AWS Foundations, NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
IAM.14 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert Benchmark für CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
IAM.15 Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, AWS NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
IAM.16 Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS NIEDRIG Nein Regelmäßig
IAM.17 Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft Benchmark AWS für CIS Foundations v1.2.0, PCI DSS v4.0.1 NIEDRIG Nein Regelmäßig
IAM.18 Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS NIEDRIG Nein Regelmäßig
IAM.19 MFA sollte für alle IAM-Benutzer aktiviert sein NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
IAM.21 Von Ihnen erstellte, vom Kunden verwaltete IAM-Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 NIEDRIG Nein Änderung ausgelöst
IAM.22 IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
IAM.23 IAM Access Analyzer-Analyzer sollten markiert sein AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
IAM.24 IAM-Rollen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
IAM.25 IAM-Benutzer sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
IAM.26 Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden Benchmark für AWS GUS-Stiftungen v5.0.0, Benchmark für AWS GIS-Stiftungen v3.0.0 MITTEL Nein Regelmäßig
IAM.27 IAM-Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess Benchmark für AWS GUS-Stiftungen v5.0.0, Benchmark für AWS GIS-Stiftungen v3.0.0 MITTEL Nein Änderung ausgelöst
IAM.28 Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein Benchmark für AWS GUS-Stiftungen v5.0.0, Benchmark für AWS GIS-Stiftungen v3.0.0 HIGH (HOCH) Nein Regelmäßig
Inspector.1 Amazon Inspector EC2-Scannen sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
Inspector.2 Das Amazon Inspector ECR-Scannen sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
Inspector.3 Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
Inspector.4 Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
IoT.1 AWS IoT Device DefenderSicherheitsprofile sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoT.2 AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoT.3 AWS IoT CoreDimensionen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoT.4 AWS IoT CoreAutorisierer sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoT.5 AWS IoT CoreRollenaliase sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoT.6 AWS IoT CoreRichtlinien sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTEvents.1 AWS IoT EventsEingaben sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTEvents.2 AWS IoT EventsDetektormodelle sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTEvents.3 AWS IoT EventsAlarmmodelle sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTSiteWise.1 AWS IoT SiteWiseAsset-Modelle sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTSiteWise.2 AWS IoT SiteWiseDashboards sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTSiteWise.3 AWS IoT SiteWiseGateways sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTSiteWise.4 AWS IoT SiteWisePortale sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTSiteWise.5 AWS IoT SiteWiseProjekte sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTTwinMaker.1 AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTTwinMaker.2 AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTTwinMaker.3 AWS TwinMaker IoT-Szenen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTTwinMaker.4 AWS TwinMaker IoT-Entitäten sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTWireless.1 AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTWireless.2 AWSIoT-Wireless-Dienstprofile sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IoTWireless.3 AWSIoT Wireless FUOTA-Aufgaben sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IVS.1 Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IVS.2 IVS-Aufnahmekonfigurationen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
IVS.3 IVS-Kanäle sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Keyspaces.1 Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Kinesis.1 Kinesis-Streams sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Kinesis.2 Kinesis-Streams sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Kinesis.3 Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen AWSBewährte grundlegende Sicherheitsmethoden MITTEL Ja Änderung ausgelöst
KMS.1 Vom Kunden verwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
KMS.2 IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
KMS.3 AWS KMS keyssollte nicht ungewollt gelöscht werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 KRITISCH Nein Änderung ausgelöst
KMS.4 AWS KMS keyRotation sollte aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS MITTEL Nein Regelmäßig
KMS.5 KMS-Schlüssel sollten nicht öffentlich zugänglich sein AWSBewährte grundlegende Sicherheitsmethoden KRITISCH Nein Änderung ausgelöst
Lambda.1 Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
Lambda.2 Lambda-Funktionen sollten unterstützte Laufzeiten verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Lambda.3 Lambda-Funktionen sollten sich in einer VPC befinden PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
Lambda.5 VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
Lambda.6 Lambda-Funktionen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Lambda.7 Lambda Lambda-Funktionen sollte die AWS X-Ray aktive Ablaufverfolgung aktiviert sein NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
Macie.1 Amazon Macie sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
Macie.2 Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Regelmäßig
MSK.1 MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
MSK.2 Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
MSK.3 MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
MSK.4 Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein AWSBewährte grundlegende Sicherheitsmethoden KRITISCH Nein Änderung ausgelöst
MSK.5 Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
MSK.6 MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
MQ.2 ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
MQ.4 Amazon MQ-Broker sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
MQ.5 ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
MQ.6 RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
Neptune.1 Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Neptune.2 Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Neptune.3 Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
Neptune.4 Neptune Neptune-DB-Clustern sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
Neptune.5 Neptune Neptune-DB-Clustern sollten automatische Backups aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
Neptune.6 Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Neptune.7 Neptune Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Neptune.8 Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
Neptune.9 Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
NetworkFirewall.1 Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
NetworkFirewall.2 Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Regelmäßig
NetworkFirewall.3 Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
NetworkFirewall.4 Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ lauten. AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
NetworkFirewall.5 Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ lauten. AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
NetworkFirewall.6 Die Regelgruppe für statuslose Netzwerk-Firewalls sollte nicht leer sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
NetworkFirewall.7 Netzwerk-Firewall-Firewalls sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
NetworkFirewall.8 Netzwerk-Firewall-Firewall-Richtlinien sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
NetworkFirewall.9 Network Firewall Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
NetworkFirewall.10 Network Firewall Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.1 OpenSearch Bei Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.2 OpenSearch Domains sollten nicht öffentlich zugänglich sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Änderung ausgelöst
Opensearch.3 OpenSearch Domänen sollten Daten verschlüsseln, die zwischen Knoten gesendet werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.4 OpenSearch Die Protokollierung von Domänenfehlern in CloudWatch Logs sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.5 OpenSearch Für Domänen sollte die Auditprotokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Opensearch.6 OpenSearch Domänen sollten mindestens drei Datenknoten haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.7 OpenSearch Für Domänen sollte eine fein abgestufte Zugriffskontrolle aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
Opensearch.8 Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Opensearch.9 OpenSearch Domains sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Opensearch.10 OpenSearch In den Domänen sollte das neueste Softwareupdate installiert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Opensearch.11 OpenSearch Domänen sollten mindestens drei dedizierte Primärknoten haben NIST SP 800-53 Rev. 5 NIEDRIG Nein Regelmäßig
PCA.1 AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Regelmäßig
PCA.2 AWSPrivate Zertifizierungsstellen sollten gekennzeichnet werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.1 Der RDS-Snapshot sollte privat sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Änderung ausgelöst
RDS.2 RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
RDS.3 Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.4 RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.5 RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden CIS AWS Foundations Benchmark v5.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.6 Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Ja Änderung ausgelöst
RDS.7 Bei RDS-Clustern sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.8 Für RDS-DB-Instances sollte der Löschschutz aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
RDS.9 RDS-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.10 Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.11 Für RDS-Instances sollten automatische Backups aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
RDS.12 Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.13 Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
RDS.14 Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
RDS.15 RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden CIS AWS Foundations Benchmark v5.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.16 Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
RDS.17 RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
RDS.19 Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
RDS.20 Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
RDS.21 Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
RDS.22 Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS-Ereignisbenachrichtigungen konfiguriert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
RDS.23 RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
RDS.24 RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.25 RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.26 RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
RDS.27 RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
RDS.28 RDS-DB-Cluster sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.29 RDS-DB-Cluster-Snapshots sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.30 RDS-DB-Instances sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.31 RDS-DB-Sicherheitsgruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.32 RDS-DB-Snapshots sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.33 RDS-DB-Subnetzgruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
RDS.34 Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.35 Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.36 RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
RDS.37 Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
RDS.38 RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RDS.39 RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RDS.40 RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
RDS.41 RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RDS.42 RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
RDS.43 RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RDS.44 RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RDS.45 Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
RDS.46 RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
RDS.47 RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden AWSBewährte grundlegende Sicherheitsmethoden NIEDRIG Nein Änderung ausgelöst
RDS.48 RDS für MySQL-DB-Cluster sollten so konfiguriert sein, dass Tags in DB-Snapshots kopiert werden AWSBewährte grundlegende Sicherheitsmethoden NIEDRIG Nein Änderung ausgelöst
RDS.50 Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Ja Änderung ausgelöst
RDS.51 Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
Redshift.1 Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
Redshift.2 Verbindungen zu Amazon Redshift Redshift-Clustern sollten während der Übertragung verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Redshift.3 Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Ja Änderung ausgelöst
Redshift.4 Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
Redshift.6 Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Redshift.7 Redshift-Cluster sollten erweitertes VPC-Routing verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Redshift.8 Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Redshift.10 Redshift-Cluster sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Redshift.11 Redshift-Cluster sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Redshift.12 Abonnementbenachrichtigungen für Redshift-Ereignisse sollten mit Tags versehen werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Redshift.13 Redshift-Cluster-Snapshots sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Redshift.14 Redshift-Cluster-Subnetzgruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Redshift.15 Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Ursprüngen zulassen AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
Redshift.16 Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Redshift.17 Redshift-Cluster-Parametergruppen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
Redshift.18 Redshift Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
RedshiftServerless.1 Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
RedshiftServerless.2 Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein. AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RedshiftServerless.3 Redshift Serverlose Arbeitsgruppen sollten den öffentlichen Zugriff verbieten AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Regelmäßig
RedshiftServerless.4 Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
RedshiftServerless.5 Redshift Serverless Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
RedshiftServerless.6 Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
Route53.1 Gesundheitschecks auf Route 53 sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Route53.2 In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
S3.1 Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
S3.2 S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Änderung ausgelöst und periodisch
S3.3 S3-Buckets für allgemeine Zwecke sollten den öffentlichen Schreibzugriff blockieren AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 KRITISCH Nein Änderung ausgelöst und periodisch
S3.5 Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
S3.6 Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (HOCH) Nein Änderung ausgelöst
S3.7 S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
S3.8 S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
S3.9 Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
S3.10 S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
S3.11 Für S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Ja Änderung ausgelöst
S3.12 ACLs sollten nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
S3.13 S3-Buckets für allgemeine Zwecke sollten Lifecycle-Konfigurationen haben AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 NIEDRIG Ja Änderung ausgelöst
S3.14 Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 NIEDRIG Nein Änderung ausgelöst
S3.15 Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
S3.17 S3-Buckets für allgemeine Zwecke sollten im Ruhezustand mit verschlüsselt werden AWS KMS keys NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
S3.19 Bei S3-Zugangspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 KRITISCH Nein Änderung ausgelöst
S3.20 Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 NIEDRIG Nein Änderung ausgelöst
S3.22 S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren Benchmark für AWS CIS-Grundlagen v5.0.0, Benchmark für AWS CIS-Grundlagen v3.0.0, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
S3.23 S3-Buckets für allgemeine Zwecke sollten Leseereignisse auf Objektebene protokollieren Benchmark für AWS CIS-Grundlagen v5.0.0, Benchmark für AWS CIS-Grundlagen v3.0.0, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
S3.24 Für S3 Multi-Region Access Points sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
S3.25 S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben AWSBewährte grundlegende Sicherheitsmethoden NIEDRIG Ja Änderung ausgelöst
SageMaker.1 Amazon SageMaker Notebook-Instances sollten keinen direkten Internetzugang haben AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (HOCH) Nein Regelmäßig
SageMaker.2 SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
SageMaker.3 Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instanzen haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 HIGH (HOCH) Nein Änderung ausgelöst
SageMaker.4 SageMaker Bei Produktionsvarianten für Endgeräte sollte die anfängliche Anzahl der Instanzen größer als 1 sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
SageMaker.5 SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.6 SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SageMaker.7 SageMaker Bilder sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SageMaker.8 SageMaker Notebook-Instanzen sollten auf unterstützten Plattformen laufen AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Regelmäßig
SageMaker.9 SageMaker Für Auftragsdefinitionen zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.10 SageMaker Bei den Auftragsdefinitionen zur Erläuterung des Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.11 SageMaker Für Auftragsdefinitionen zur Datenqualität sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.12 SageMaker Bei Jobdefinitionen mit Modellverzerrung sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.13 SageMaker Für Auftragsdefinitionen in Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.14 SageMaker In den Überwachungszeitplänen sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.15 SageMaker Bei den Jobdefinitionen mit Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Änderung ausgelöst
SageMaker.16 SageMaker Modelle sollten eine private Registrierung in VPC für primäre Container verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.17 SageMaker Offline-Stores für Featuregruppen sollten mit AWS KMS Schlüsseln verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.18 SageMaker Onlineshops für Featuregruppen mit Standardspeicher sollten mit AWS KMS Schlüsseln verschlüsselt werden NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
SageMaker.19 SageMaker Modelle sollten eine private Registrierung in VPC für Inferenz-Pipelines mit mehreren Containern verwenden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.20 SageMaker Bei Auftragsdefinitionen zur Erläuterung des Modells sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
SageMaker.21 SageMaker Notebook-Instanzen sollten mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.22 SageMaker In den Überwachungszeitplänen sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.23 SageMaker Bei Inferenzexperimenten sollte das Instanz-Speichervolumen mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.24 SageMaker Bei Inferenzexperimenten sollte der Datenspeicher mit vom Kunden verwalteten AWS KMS Schlüsseln verschlüsselt sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SageMaker.25 SageMaker Bei Auftragsdefinitionen für Modellqualität sollte die Netzwerkisolierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden HIGH (HOCH) Nein Änderung ausgelöst
SecretsManager.1 Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
SecretsManager.2 Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Änderung ausgelöst
SecretsManager.3 Unbenutzte Secrets Manager Manager-Geheimnisse entfernen AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Ja Regelmäßig
SecretsManager.4 Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Ja Regelmäßig
SecretsManager.5 Secrets Manager Manager-Geheimnisse sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
ServiceCatalog.1 Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Regelmäßig
SES.1 SES-Kontaktlisten sollten mit Tags versehen sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SES.2 SES-Konfigurationssätze sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SES.3 In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
SNS.1 SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
SNS.3 SNS-Themen sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SNS.4 Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen AWSBewährte grundlegende Sicherheitsmethoden KRITISCH Nein Änderung ausgelöst
SQS.1 Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
SQS.2 SQS-Warteschlangen sollten markiert werden AWSStandard für Ressourcen-Tagging NIEDRIG Ja Änderung ausgelöst
SQS.3 Die SQS-Richtlinien für den Warteschlangenzugriff sollten keinen öffentlichen Zugriff zulassen AWSBewährte grundlegende Sicherheitsmethoden KRITISCH Nein Änderung ausgelöst
SSM.1 EC2-Instances sollten verwaltet werden von AWS Systems Manager AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
SSM.2 Von Systems Manager verwaltete EC2-Instances sollten nach einer Patch-Installation den Patch-Konformitätsstatus COMPLIANT haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (HOCH) Nein Änderung ausgelöst
SSM.3 Von Systems Manager verwaltete EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 NIEDRIG Nein Änderung ausgelöst
SSM.4 SSM-Dokumente sollten nicht öffentlich sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 KRITISCH Nein Regelmäßig
SSM.5 SSM-Dokumente sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
SSM.6 Bei SSM Automation sollte die CloudWatch Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 MITTEL Nein Regelmäßig
SSM.7 Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 KRITISCH Nein Regelmäßig
StepFunctions.1 Step Functions, bei Zustandsmaschinen sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 MITTEL Ja Änderung ausgelöst
StepFunctions.2 Step Functions Functions-Aktivitäten sollten markiert werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Transfer.1 Workflows für die Transfer Family sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Transfer.2 Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
Transfer.3 Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
Transfer.4 Transfer Family Familienverträge sollten gekennzeichnet werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Transfer.5 Transfer Family Familienzertifikate sollten gekennzeichnet sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Transfer.6 Steckverbinder der Transfer-Familie sollten gekennzeichnet sein AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
Transfer.7 Transfer Family Familienprofile sollten mit Tags versehen werden AWSStandard für die Kennzeichnung von Ressourcen NIEDRIG Ja Änderung ausgelöst
WAF.1 AWSDie WAF Classic Global Web ACL-Protokollierung sollte aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MITTEL Nein Regelmäßig
WAF.2 AWSDie regionalen Regeln von WAF Classic sollten mindestens eine Bedingung enthalten AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.3 AWSWAF Classic Regional Regelgruppen sollten mindestens eine Regel haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.4 AWSWAF Classic Regional Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.6 AWSGlobale WAF Classic-Regeln sollten mindestens eine Bedingung haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.7 AWSGlobale WAF Classic-Regelgruppen sollten mindestens eine Regel haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.8 AWSGlobale WAF Classic-Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.10 AWSWAF-Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 MITTEL Nein Änderung ausgelöst
WAF.11 AWSDie WAF-Web-ACL-Protokollierung sollte aktiviert sein NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 NIEDRIG Nein Regelmäßig
WAF.12 AWSBei WAF-Regeln sollten CloudWatch Metriken aktiviert sein AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MITTEL Nein Änderung ausgelöst
WorkSpaces.1 WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst
WorkSpaces.2 WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden AWSBewährte grundlegende Sicherheitsmethoden MITTEL Nein Änderung ausgelöst