Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontrollreferenz für Security Hub CSPM
Diese Kontrollreferenz enthält eine Tabelle der verfügbaren AWS Security Hub CSPM-Steuerelemente mit Links zu weiteren Informationen zu den einzelnen Steuerelementen. In der Tabelle sind die Kontrollen in alphabetischer Reihenfolge nach der Kontroll-ID aufgeführt. Nur Steuerelemente, die von Security Hub CSPM aktiv verwendet werden, sind hier enthalten. Steuerelemente, die nicht mehr verwendet wurden, sind in der Tabelle nicht enthalten.
Die Tabelle enthält die folgenden Informationen für jedes Steuerelement:
-
ID der Sicherheitskontrolle — Diese ID gilt für alle Standards und gibt die AWS-Service Ressource an, auf die sich die Kontrolle bezieht. Die Security Hub CSPM-Konsole zeigt die Sicherheitskontrolle an IDs, unabhängig davon, ob die konsolidierten Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub beziehen sich jedoch IDs nur dann auf die Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollfeststellungen“ in Ihrem Konto deaktiviert ist, IDs variieren einige Kontrollen je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
Wenn Sie Automatisierungen für Sicherheitskontrollen einrichten möchten, empfehlen wir, anhand der Kontroll-ID und nicht anhand des Titels oder der Beschreibung zu filtern. Security Hub CSPM kann zwar gelegentlich Titel oder Beschreibungen von Steuerelementen aktualisieren, die Steuerung IDs bleibt jedoch dieselbe.
Bei der Steuerung IDs können Zahlen übersprungen werden. Dies sind Platzhalter für future Kontrollen.
-
Titel der Sicherheitskontrolle — Dieser Titel gilt für alle Standards. In der Security Hub CSPM-Konsole werden Titel der Sicherheitskontrollen angezeigt, unabhängig davon, ob konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub verweisen jedoch nur dann auf Titel der Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, variieren einige Kontrolltitel je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
-
Anwendbare Standards — Gibt an, für welche Standards eine Kontrolle gilt. Wählen Sie eine Kontrolle aus, um bestimmte Anforderungen aus Compliance-Frameworks von Drittanbietern zu überprüfen.
-
Schweregrad — Der Schweregrad einer Kontrolle gibt an, wie wichtig sie aus Sicherheitsgründen ist. Informationen darüber, wie Security Hub CSPM den Schweregrad der Kontrolle bestimmt, finden Sie unter. Schweregrade der Kontrollbefunde
-
Unterstützt benutzerdefinierte Parameter — Gibt an, ob das Steuerelement benutzerdefinierte Werte für einen oder mehrere Parameter unterstützt. Wählen Sie ein Steuerelement aus, um die Parameterdetails zu überprüfen. Weitere Informationen finden Sie unter Grundlegendes zu den Steuerungsparametern in Security Hub CSPM.
-
Zeitplantyp — Gibt an, wann die Kontrolle ausgewertet wird. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.
Wählen Sie ein Steuerelement aus, um weitere Details zu überprüfen. Die Kontrollen werden in alphabetischer Reihenfolge nach der Sicherheitskontroll-ID aufgelistet.
| ID der Sicherheitskontrolle | Titel der Sicherheitskontrolle | Anwendbare Normen | Schweregrad | Unterstützt benutzerdefinierte Parameter | Art des Zeitplans |
|---|---|---|---|---|---|
| Account.1 | Sicherheitskontaktinformationen sollten für eine bereitgestellt werden AWS-Konto | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| Konto.2 | AWS-Kontosollte Teil einer Organisation sein AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Regelmäßig |
| ACM.1 | Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst und periodisch |
| ACM.2 | Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ACM.3 | ACM-Zertifikate sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Verstärker.1 | Amplify-Apps sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Verstärker.2 | Amplify-Zweige sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| APIGateway1. | API Gateway, REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway2.2 | API Gateway, REST-API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| APIGateway3. | Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| APIGateway4. | API Gateway sollte mit einer WAF-Web-ACL verknüpft sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway5. | API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway8. | API-Gateway-Routen sollten einen Autorisierungstyp angeben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| APIGateway9. | Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| AppConfig1. | AWS AppConfigAnwendungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig2.2 | AWS AppConfigKonfigurationsprofile sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig3. | AWS AppConfigUmgebungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig4. | AWS AppConfigErweiterungszuordnungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppFlow1. | AppFlow Amazon-Datenflüsse sollten gekennzeichnet werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppRunner1. | App Runner-Dienste sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppRunner2.2 | App Runner VPC-Konnektoren sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppSync1. | AWSAppSync API-Caches sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| AppSync2.2 | AWSAppSync sollte die Protokollierung auf Feldebene aktiviert haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| AppSync4. | AWSAppSync GraphQL APIs sollte markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppSync5. | AWSAppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| AppSync6. | AWSAppSync API-Caches sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Athena.2 | Athena-Datenkataloge sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Athena.3 | Athena-Arbeitsgruppen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Athena.4 | Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| AutoScaling1. | Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| AutoScaling2.2 | Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling3. | Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| AutoScaling.5 | EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| AutoScaling6. | Auto Scaling Scaling-Gruppen sollten mehrere Instanztypen in mehreren Availability Zones verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling9. | EC2 Auto Scaling Scaling-Gruppen sollten EC2 Startvorlagen verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling1.0 | EC2 Auto Scaling Scaling-Gruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Sicherung.1 | AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Sicherung.2 | AWS BackupWiederherstellungspunkte sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.3 | AWS BackupTresore sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.4 | AWS BackupBerichtspläne sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.5 | AWS BackupBackup-Pläne sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.1 | Warteschlangen für Batch-Jobs sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.2 | Richtlinien zur Batch-Planung sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.3 | Batch-Computing-Umgebungen sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.4 | Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudFormation2.2 | CloudFormation Stapel sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudFormation3. | CloudFormation Bei Stacks sollte der Terminierungsschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| CloudFormation4. | CloudFormation Stacks sollten zugeordnete Servicerollen haben | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| CloudFront1. | CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| CloudFront3. | CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront4. | CloudFront Bei Distributionen sollte Origin Failover konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| CloudFront5. | CloudFront Bei Distributionen sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront6. | CloudFront Bei Distributionen sollte WAF aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront7. | CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Änderung ausgelöst |
| CloudFront8. | CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| CloudFront9. | CloudFront Distributionen sollten den Verkehr zu benutzerdefinierten Ursprüngen verschlüsseln | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.0 | CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.2 | CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| CloudFront1.3 | CloudFront Distributionen sollten Origin Access Control verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.4 | CloudFront Distributionen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudFront1.5 | CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| CloudFront1.6 | CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| CloudFront1.7 | CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte URLs Schlüssel und Cookies verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| CloudTrail1. | CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Regelmäßig | |
| CloudTrail2.2 | CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS CIS AWS Foundations Benchmark v1.4.0 Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| CloudTrail3. | Mindestens ein CloudTrail Trail sollte aktiviert sein | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (HOCH) | Regelmäßig | |
| CloudTrail.4 | CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS | NIEDRIG | |
Regelmäßig |
| CloudTrail5. | CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| CloudTrail6. | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst und periodisch |
| CloudTrail7. | Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS | NIEDRIG | |
Regelmäßig |
| CloudTrail9. | CloudTrail Wege sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudTrail1.0 | CloudTrail Datenspeicher für Ereignisse in Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| CloudWatch1. | Für die Verwendung des Root-Benutzers sollten ein Log-Metrikfilter und ein Alarm vorhanden sein | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | NIEDRIG | |
Regelmäßig |
| CloudWatch2. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind | Benchmark v1.2.0 für CIS AWS Foundations, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch3. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind | Benchmark AWS v1.2.0 für CIS-Stiftungen | NIEDRIG | |
Regelmäßig |
| CloudWatch.4 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind | Benchmark für AWS GIS-Stiftungen v1.4.0, Benchmark für AWS GIS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch5. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch6. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch7. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch8. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind | Benchmark für AWS GIS-Stiftungen v1.4.0, Benchmark für AWS GIS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch9. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch.10 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch.11 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch1.2 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch1.3 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch.14 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Regelmäßig |
| CloudWatch.15 | CloudWatch Für Alarme sollten bestimmte Aktionen konfiguriert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | |
Änderung ausgelöst |
| CloudWatch1.6 | CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| CloudWatch1,7 | CloudWatch Alarmaktionen sollten aktiviert sein | NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| CodeArtifact1. | CodeArtifact Repositorien sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CodeBuild1. | CodeBuild Das Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | Änderung ausgelöst | |
| CodeBuild2.2 | CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| CodeBuild3. | CodeBuild S3-Protokolle sollten verschlüsselt sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | NIEDRIG | |
Änderung ausgelöst |
| CodeBuild4. | CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| CodeBuild7. | CodeBuild Exporte von Berichtsgruppen sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| CodeGuruProfiler1. | CodeGuru Profiler-Profiling-Gruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| CodeGuruReviewer1. | CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kognito. 1 | In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kognito. 2 | Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kognito.3 | Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kognito.4 | In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kognito. 5 | MFA sollte für Cognito-Benutzerpools aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kognito. 6 | In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Config.1 | AWS Configsollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS | KRITISCH | Regelmäßig | |
| Verbinden.1 | Die Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Verbinden.2 | Amazon Connect Connect-Instances sollte die CloudWatch Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| DataFirehose1. | Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| DataSync1. | DataSync Für Aufgaben sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| DataSync2.2 | DataSync Aufgaben sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Detektiv.1 | Verhaltensdiagramme von Detektiven sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.1 | Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Regelmäßig |
| DMS.2 | DMS-Zertifikate sollten mit einem Tag versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.3 | DMS-Veranstaltungsabonnements sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.4 | DMS-Replikationsinstanzen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| DMS.5 | Subnetzgruppen für die DMS-Replikation sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| DMS.6 | Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.7 | Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.8 | Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.9 | DMS-Endpunkte sollten SSL verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.10 | Auf DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DMS.11 | Auf DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DMS.12 | Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DMS.13 | DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| DocumentDB DB.1 | Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.2 | Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.3 | Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| DocumentDB DB.4 | Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.5 | Für Amazon DocumentDB-Cluster sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.6 | Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| DynamoDB.1 | DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| DynamoDB.2 | DynamoDB DynamoDB-Tabellen sollte die Wiederherstellung aktiviert point-in-time sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| DynamoDB.3 | DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Dynamo DB.4 | DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Dynamo DB.5 | DynamoDB-Tabellen sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Dynamo DB,6 | DynamoDB DynamoDB-Tabellen sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Dynamo DB.7 | DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| EC21. | EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Regelmäßig |
| EC22. | VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, AWS CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | HIGH (HOCH) | |
Änderung ausgelöst |
| EC23. | Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EC24. | Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EC26. | Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| EC27. | Die EBS-Standardverschlüsselung sollte aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EC28. | EC2 Instanzen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC29. | EC2 Instanzen sollten keine öffentliche IPv4 Adresse haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC21.0 | Amazon EC2 sollte für die Verwendung von VPC-Endpunkten konfiguriert sein, die für den Amazon-Service erstellt wurden EC2 | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| EC21.2 | Unbenutztes EC2 EIPs sollte entfernt werden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| EC21.3 | Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | Ausgelöste und periodische Änderung | |
| EC21.4 | Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | Benchmark für CIS Foundations v1.2.0AWS, PCI DSS v4.0.1 | HIGH (HOCH) | Ausgelöste und periodische Änderung | |
| EC21.5 | EC2 Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MITTEL | |
Änderung ausgelöst |
| EC21.6 | Unbenutzte Network Access Control Lists sollten entfernt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | NIEDRIG | |
Änderung ausgelöst |
| EC21.7 | EC2 Instanzen sollten nicht mehrere verwenden ENIs | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| EC21.8 | Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC21.9 | Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | KRITISCH | Änderung ausgelöst und periodisch | |
| EC22.0 | Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| EC22.1 | ACLs Das Netzwerk sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | MITTEL | |
Änderung ausgelöst |
| EC22.2 | Unbenutzte EC2 Sicherheitsgruppen sollten entfernt werden | MITTEL | Regelmäßig | ||
| EC22,3 | EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC22.4 | EC2 Paravirtuelle Instanztypen sollten nicht verwendet werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EC22.5 | EC2 Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC22.8 | EBS-Volumes sollten in einem Backup-Plan enthalten sein | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| EC23.3 | EC2 Transit-Gateway-Anhänge sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.4 | EC2 Routentabellen für Transit-Gateways sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.5 | EC2 Netzwerkschnittstellen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.6 | EC2 Kunden-Gateways sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.7 | EC2 Elastische IP-Adressen sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC23.8 | EC2 Instanzen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC23.9 | EC2 Internet-Gateways sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.0 | EC2 NAT-Gateways sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC24.1 | EC2 Netzwerk ACLs sollte markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.2 | EC2 Routentabellen sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC24.3 | EC2 Sicherheitsgruppen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.4 | EC2 Subnetze sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.5 | EC2 Bände sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.6 | Amazon VPCs sollte markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.7 | Amazon VPC Endpoint Services sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.8 | Amazon VPC-Flow-Logs sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.9 | Amazon VPC-Peering-Verbindungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.0 | EC2 VPN-Gateways sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.1 | EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| EC25.2 | EC2 Transit-Gateways sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.3 | EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf die Verwaltungsports des Remoteservers zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| EC25.4 | EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remoteserver-Verwaltungsports zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| EC25.5 | VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,6 | VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,7 | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,8 | VPCs sollte mit einem Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC26,0 | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC21,70 | EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | NIEDRIG | Änderung ausgelöst | |
| EC21.71 | EC2 Bei VPN-Verbindungen sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| EC2.172 | EC2 Die Einstellungen für VPC Block Public Access sollten den Internet-Gateway-Verkehr blockieren | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| EC21.73 | EC2 Spot-Flottenanfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| EC2.174 | EC2 DHCP-Optionssätze sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC21.75 | EC2 Startvorlagen sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC2.176 | EC2 Präfixlisten sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC2.177 | EC2 Traffic Mirror-Sitzungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC2.178 | EC2 Filter für Verkehrsspiegel sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC21.79 | EC2 Verkehrsspiegelziele sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC21.80 | EC2 Bei Netzwerkschnittstellen sollte die source/destination Überprüfung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| EC2.181 | EC2 Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| EC21.82 | EBS-Snapshots sollten nicht öffentlich zugänglich sein | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Änderung ausgelöst | |
| ECR.1 | Für private ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| ECR.2 | Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ECR.3 | Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ECR.4 | Öffentliche ECR-Repositorien sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECR.5 | ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| ECS.1 | Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.2 | ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.3 | ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.4 | ECS-Container sollten ohne Zugriffsrechte ausgeführt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.5 | ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.8 | Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.9 | ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.10 | ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ECS.12 | ECS-Cluster sollten Container Insights verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ECS.13 | ECS-Dienste sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.14 | ECS-Cluster sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.15 | ECS-Aufgabendefinitionen sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.16 | ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| ECS.17 | ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| ECS.18 | ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| ECS.19 | ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| ECS.20 | ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Containerdefinitionen konfigurieren | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| ECS.21 | ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| EFS.1 | Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EFS.2 | Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EFS.3 | EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EFS.4 | EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| EFS. 5 | EFS-Zugangspunkte sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EFS. 6 | EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen. | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| EFS. 7 | EFS EFS-Dateisystemen sollten automatische Backups aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| EFS. 8 | EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden | CIS AWS Foundations Benchmark v5.0.0, Bewährte Methoden für AWS grundlegende Sicherheit | MITTEL | Änderung ausgelöst | |
| EKS.1 | EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| EKS.2 | EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| EKS.3 | EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| EKS. 6 | EKS-Cluster sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EKS.7 | Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EKS.8 | Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ElastiCache1. | ElastiCache Bei Clustern (Redis OSS) sollten automatische Backups aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Regelmäßig | |
| ElastiCache2.2 | ElastiCache Bei Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| ElastiCache3. | ElastiCache Für Replikationsgruppen sollte automatisches Failover aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ElastiCache4. | ElastiCache Replikationsgruppen sollten encrypted-at-rest | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ElastiCache5. | ElastiCache Replikationsgruppen sollten encrypted-in-transit | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| ElastiCache6. | ElastiCache (Redis OSS) -Replikationsgruppen früherer Versionen sollten Redis OSS AUTH aktiviert haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| ElastiCache7. | ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Regelmäßig |
| ElasticBeanstalk1. | In Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| ElasticBeanstalk2. | Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ElasticBeanstalk3. | Elastic Beanstalk sollte Logs streamen nach CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ELB.1 | Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ELB.2 | Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| ELB.3 | Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ELB.4 | Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ELB.5 | Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.6 | Für Anwendung, Gateway und Network Load Balancer sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| ELB.7 | Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| ELB.8 | Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Konfiguration verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ELB.9 | Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.10 | Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.12 | Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden. | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ELB.13 | Load Balancer für Anwendungen, Netzwerke und Gateways sollten sich über mehrere Availability Zones erstrecken | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.14 | Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ELB.16 | Application Load Balancer sollten mit einer AWS WAF-Web-ACL verknüpft sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.17 | Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.18 | Applications- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| EMR.1 | Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| EMR. 2 | Die Einstellung „Öffentlichen Zugriff blockieren“ in Amazon EMR sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | Regelmäßig | |
| EMR. 3 | Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| EMR. 4 | Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| ES.1 | Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ES.2 | Elasticsearch-Domains sollten nicht öffentlich zugänglich sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Regelmäßig |
| ES.3 | Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MITTEL | |
Änderung ausgelöst |
| ES.4 | Die Protokollierung von Elasticsearch-Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.5 | Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.6 | Elasticsearch-Domains sollten mindestens drei Datenknoten haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.7 | Elasticsearch-Domains sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.8 | Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| ES.9 | Elasticsearch-Domains sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EventBridge2. | EventBridge Eventbusse sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EventBridge3. | EventBridge maßgeschneiderte Eventbusse sollten mit einer ressourcenbasierten Richtlinie versehen sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| EventBridge4. | EventBridge Auf globalen Endpunkten sollte die Ereignisreplikation aktiviert sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| FraudDetector1. | Die Entitätstypen von Amazon Fraud Detector sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector2. | Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector3. | Die Ergebnisse von Amazon Fraud Detector sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector4. | Die Variablen von Amazon Fraud Detector sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FSx1. | FSx für OpenZFS sollten Dateisysteme so konfiguriert sein, dass sie Tags auf Backups und Volumes kopieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| FSx2. | FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass sie Tags in Backups kopieren | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | NIEDRIG | Regelmäßig | |
| FSx3. | FSx für OpenZFS sollten Dateisysteme für den Multi-AZ-Einsatz konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| FSx4. | FSx für NetApp ONTAP sollten Dateisysteme für den Multi-AZ-Einsatz konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| FSx5. | FSx für Windows-Dateiserver sollten Dateisysteme für die Multi-AZ-Bereitstellung konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| Kleber.1 | AWS GlueJobs sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kleber.3 | AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| Kleber.4 | AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| GlobalAccelerator1. | Global Accelerator-Beschleuniger sollten markiert sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty1. | GuardDuty sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| GuardDuty2.2 | GuardDuty Filter sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty3. | GuardDuty IPSets sollte markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty4. | GuardDuty Detektoren sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty5. | GuardDuty EKS Audit Log Monitoring sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| GuardDuty6. | GuardDuty Lambda-Schutz sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.7 | GuardDuty EKS Runtime Monitoring sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.8 | GuardDuty Der Malware-Schutz für EC2 sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| GuardDuty9. | GuardDuty Der RDS-Schutz sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty1.0 | GuardDuty S3-Schutz sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty1.1 | GuardDuty Runtime Monitoring sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| GuardDuty1.2 | GuardDuty ECS Runtime Monitoring sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| GuardDuty1.3 | GuardDuty EC2 Runtime Monitoring sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| IAM.1 | IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | |
Änderung ausgelöst |
| IAM.2 | IAM-Benutzern sollten keine IAM-Richtlinien zugewiesen sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Änderung ausgelöst |
| IAM.3 | Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MITTEL | |
Regelmäßig |
| IAM.4 | Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS | KRITISCH | |
Regelmäßig |
| IAM.5 | MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MITTEL | |
Regelmäßig |
| IAM.6 | Hardware-MFA sollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | KRITISCH | |
Regelmäßig |
| IAM.7 | Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.8 | Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.9 | MFA sollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | KRITISCH | |
Regelmäßig |
| ICH BIN .10 | Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MITTEL | |
Regelmäßig |
| IAM.11 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert | Benchmark der CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.12 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert | Benchmark der CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.13 | Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist | Benchmark v1.2.0 der CIS AWS Foundations, NIST SP 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| IAM.14 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.15 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP AWS 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| IAM.16 | Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | NIEDRIG | |
Regelmäßig |
| IAM.17 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| IAM.18 | Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | NIEDRIG | |
Regelmäßig |
| ICH BIN. 19 | MFA sollte für alle IAM-Benutzer aktiviert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.21 | Von Ihnen erstellte, vom Kunden verwaltete IAM-Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | NIEDRIG | |
Änderung ausgelöst |
| IAM.22 | IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS NIST SP 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| ICH BIN. 23 | IAM Access Analyzer-Analyzer sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN. 24 | IAM-Rollen sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN .25 | IAM-Benutzer sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN .26 | Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MITTEL | Regelmäßig | |
| ICH BIN. 27 | IAM-Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloud ShellFullAccess | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0 AWS | MITTEL | Änderung ausgelöst | |
| ICH BIN .28 | Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.1 | Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.2 | Das Amazon Inspector ECR-Scannen sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.3 | Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.4 | Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| IoT. 1 | AWS IoT Device DefenderSicherheitsprofile sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.2 | AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.3 | AWS IoT CoreAbmessungen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.4 | AWS IoT CoreAutorisierer sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.5 | AWS IoT CoreRollenaliase sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT. 6 | AWS IoT CoreRichtlinien sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 1. | AWS IoT EventsEingaben sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 1.2 | AWS IoT EventsDetektormodelle sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 3. | AWS IoT EventsAlarmmodelle sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.1 | AWS IoT SiteWiseAsset-Modelle sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.2 | AWS IoT SiteWiseDashboards sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.3 | AWS IoT SiteWiseGateways sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.4 | AWS IoT SiteWisePortale sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.5 | AWS IoT SiteWiseProjekte sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.1 | AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.2 | AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.3 | AWS TwinMaker IoT-Szenen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.4 | AWS TwinMaker IoT-Entitäten sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 1. | AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 1.2 | AWSIoT-Wireless-Dienstprofile sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 3. | AWSIoT Wireless FUOTA-Aufgaben sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.1 | Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.2 | IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.3 | IVS-Kanäle sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Tastenfelder.1 | Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kinesis.1 | Kinesis-Streams sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Kinese.2 | Kinesis-Streams sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Kinese.3 | Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| KMS.1 | Vom Kunden verwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| KMS.2 | IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| KMS.3 | AWS KMS keyssollte nicht ungewollt gelöscht werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| KMS.4 | AWS KMS keyDie Rotation sollte aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | MITTEL | |
Regelmäßig |
| KMS.5 | KMS-Schlüssel sollten nicht öffentlich zugänglich sein | AWSBewährte grundlegende Sicherheitsmethoden | KRITISCH | Änderung ausgelöst | |
| Lambda.1 | Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| Lambda.2 | Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| Lambda.3 | Lambda-Funktionen sollten sich in einer VPC befinden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| Lambda.5 | VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Lambda.6 | Lambda-Funktionen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Lambda.7 | Lambda Lambda-Funktionen sollte die AWS X-Ray aktive Ablaufverfolgung aktiviert sein | NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| Macie.1 | Amazon Macie sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Macie.2 | Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Regelmäßig | |
| MSK.1 | MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| MSK.2 | Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| MSK.3 | MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| MSK.4 | Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | KRITISCH | Änderung ausgelöst | |
| MSK.5 | Bei MSK-Anschlüssen sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| MSK.6 | MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| MQ. 2 | ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| MQ. 3 | Amazon MQ-Broker sollten das automatische Upgrade der Nebenversion aktiviert haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| MQ. 4 | Amazon MQ-Broker sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| MQ.5 | ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| MQ.6 | RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| Neptun.1 | Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Neptun.2 | Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| Neptun.3 | Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| Neptun.4 | Neptune Neptune-DB-Clustern sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| Neptun.5 | Neptune Neptune-DB-Clustern sollten automatische Backups aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Neptun.6 | Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Neptun.7 | Neptune Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Neptun.8 | Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| Neptun.9 | Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall1. | Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall2. | Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Regelmäßig |
| NetworkFirewall3. | Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall4. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ lauten. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall5. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ lauten. | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall6. | Die Regelgruppe der Stateless Network Firewall sollte nicht leer sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall7. | Netzwerk-Firewall-Firewalls sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| NetworkFirewall8. | Netzwerk-Firewall-Firewall-Richtlinien sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| NetworkFirewall9. | Network Firewall Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall1.0 | Network Firewall Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| OpenSearch.1 | OpenSearch Bei Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.2 | OpenSearch Domains sollten nicht öffentlich zugänglich sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| OpenSearch.3 | OpenSearch Domänen sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.4 | OpenSearch Die Protokollierung von Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.5 | OpenSearch Für Domänen sollte die Auditprotokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.6 | OpenSearch Domänen sollten mindestens drei Datenknoten haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.7 | OpenSearch Für Domänen sollte eine fein abgestufte Zugriffskontrolle aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| OpenSearch.8 | Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| Suche öffnen.9 | OpenSearch Domains sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Suche öffnen.10 | OpenSearch Auf den Domains sollte das neueste Softwareupdate installiert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| Opensearch.11 | OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben | NIST SP 800-53 Rev. 5 | NIEDRIG | Regelmäßig | |
| PCA.1 | AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| PCA.2 | AWSPrivate Zertifizierungsstellen sollten gekennzeichnet werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.1 | Der RDS-Snapshot sollte privat sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| RDS.2 | RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| RDS.3 | Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.4 | RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.5 | RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden | CIS AWS Foundations Benchmark v5.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.6 | Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.7 | Bei RDS-Clustern sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.8 | Für RDS-DB-Instances sollte der Löschschutz aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.9 | RDS-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.10 | Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.11 | Für RDS-Instances sollten automatische Backups aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.12 | Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.13 | Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| RDS.14 | Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.15 | RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden | CIS AWS Foundations Benchmark v5.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.16 | Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| RDS.17 | RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.18 | RDS-Instances sollten in einer VPC bereitgestellt werden | HIGH (HOCH) | |
Änderung ausgelöst | |
| RDS.19 | Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.20 | Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| RDS.21 | Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| RDS.22 | Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS-Ereignisbenachrichtigungen konfiguriert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| RDS.23 | RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.24 | RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.25 | RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.26 | RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| RDS.27 | RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.28 | RDS-DB-Cluster sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.29 | Snapshots des RDS-DB-Clusters sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.30 | RDS-DB-Instances sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.31 | RDS-DB-Sicherheitsgruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.32 | RDS-DB-Snapshots sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.33 | RDS-DB-Subnetzgruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.34 | Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.35 | Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.36 | RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| RDS.37 | Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| RDS.38 | RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RDS.39 | RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RDS.40 | RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| RDS.41 | RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RDS.42 | RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| RDS.43 | RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RDS.44 | RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RDS.45 | Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| RDS.46 | RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| RDS.47 | RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden | AWSBewährte grundlegende Sicherheitsmethoden | NIEDRIG | Änderung ausgelöst | |
| RDS.48 | RDS für MySQL-DB-Cluster sollten so konfiguriert sein, dass Tags in DB-Snapshots kopiert werden | AWSBewährte grundlegende Sicherheitsmethoden | NIEDRIG | Änderung ausgelöst | |
| Redshift.1 | Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| Redshift.2 | Verbindungen zu Amazon Redshift Redshift-Clustern sollten während der Übertragung verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| Redshift.3 | Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.4 | Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| Redshift.6 | Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.7 | Redshift-Cluster sollten erweitertes VPC-Routing verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.8 | Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.10 | Redshift-Cluster sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Rotverschiebung.11 | Redshift-Cluster sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.12 | Abonnementbenachrichtigungen für Redshift-Ereignisse sollten mit Tags versehen werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.13 | Redshift-Cluster-Snapshots sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.14 | Redshift-Cluster-Subnetzgruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.15 | Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Rotverschiebung.16 | Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| Rotverschiebung.17 | Redshift-Cluster-Parametergruppen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.18 | Redshift Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| RedshiftServerless1. | Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| RedshiftServerless2.2 | Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RedshiftServerless3. | Redshift Serverlose Arbeitsgruppen sollten den öffentlichen Zugriff verbieten | AWSBewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | Regelmäßig | |
| RedshiftServerless4. | Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| RedshiftServerless5. | Redshift Serverless Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| RedshiftServerless6. | Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| Route 53.1 | Route 53-Gesundheitschecks sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Route 53.2 | In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| S3.1 | Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| S3.2 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | Änderung ausgelöst und periodisch | |
| S3.3 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Schreibzugriff blockieren | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | Änderung ausgelöst und periodisch | |
| S3.5 | Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| S3.6 | Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | Änderung ausgelöst | |
| S3.7 | S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.8 | S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| S3.9 | Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| S3.10 | S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| S3.11 | Für S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | Änderung ausgelöst | |
| S3.12 | ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| S3.13 | S3-Buckets für allgemeine Zwecke sollten Lifecycle-Konfigurationen haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.14 | Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | NIEDRIG | Änderung ausgelöst | |
| S3.15 | Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| S3.17 | S3-Buckets für allgemeine Zwecke sollten im Ruhezustand mit verschlüsselt werden AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| S3.19 | Bei S3-Zugangspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | Änderung ausgelöst | |
| S3.20 | Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, NIST AWS SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.22 | S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | MITTEL | Regelmäßig | |
| S3.23 | S3-Buckets für allgemeine Zwecke sollten Leseereignisse auf Objektebene protokollieren | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | MITTEL | Regelmäßig | |
| S3.24 | Für S3-Access Points mit mehreren Regionen sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| S3.25 | S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben | AWSBewährte grundlegende Sicherheitsmethoden | NIEDRIG | Änderung ausgelöst | |
| SageMaker1. | Amazon SageMaker Notebook-Instances sollten keinen direkten Internetzugang haben | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| SageMaker2.2 | SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| SageMaker3. | Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instanzen haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| SageMaker4. | SageMaker Bei Produktionsvarianten für Endgeräte sollte die anfängliche Anzahl der Instanzen größer als 1 sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| SageMaker5. | SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| SageMaker6. | SageMaker App-Image-Konfigurationen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SageMaker7. | SageMaker Bilder sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SageMaker8. | SageMaker Notebook-Instanzen sollten auf unterstützten Plattformen laufen | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Regelmäßig | |
| SecretsManager1. | Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| SecretsManager2. | Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| SecretsManager3. | Unbenutzte Secrets Manager Manager-Geheimnisse entfernen | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| SecretsManager4. | Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| SecretsManager5. | Secrets Manager Manager-Geheimnisse sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ServiceCatalog1. | Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| SES.1 | SES-Kontaktlisten sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SES.2 | SES-Konfigurationssätze sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SES.3 | In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| SNS.1 | SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | Änderung ausgelöst | |
| SNS.3 | SNS-Themen sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SNS.4 | Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen | AWSBewährte grundlegende Sicherheitsmethoden | KRITISCH | Änderung ausgelöst | |
| SQS.1 | Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| SQS.2 | SQS-Warteschlangen sollten markiert werden | AWSStandard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| SQS.3 | Die SQS-Richtlinien für den Warteschlangenzugriff sollten keinen öffentlichen Zugriff zulassen | AWSBewährte grundlegende Sicherheitsmethoden | KRITISCH | Änderung ausgelöst | |
| SSM.1 | EC2 Instanzen sollten verwaltet werden von AWS Systems Manager | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| SSM.2 | EC2 Von Systems Manager verwaltete Instanzen sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| SSM.3 | EC2 Von Systems Manager verwaltete Instanzen sollten den Zuordnungs-Compliance-Status COMPLIANT haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| SSM.4 | SSM-Dokumente sollten nicht öffentlich sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | KRITISCH | |
Regelmäßig |
| SSM.5 | SSM-Dokumente sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SSM.6 | Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Regelmäßig | |
| SSM. 7 | Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0 | KRITISCH | Regelmäßig | |
| StepFunctions1. | Step Functions, bei Zustandsmaschinen sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| StepFunctions2. | Step Functions Functions-Aktivitäten sollten markiert werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.1 | Die Workflows von Transfer Family sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.2 | Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| Übertragung.3 | Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| Übertragung.4 | Transfer Family Familienverträge sollten gekennzeichnet werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.5 | Transfer Family Familienzertifikate sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.6 | Steckverbinder der Transfer-Familie sollten gekennzeichnet sein | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.7 | Transfer Family Familienprofile sollten mit Tags versehen werden | AWSStandard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| WAF.1 | AWSDie WAF Classic Global Web ACL-Protokollierung sollte aktiviert sein | AWSBewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| WAF.2 | AWSDie regionalen Regeln von WAF Classic sollten mindestens eine Bedingung enthalten | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.3 | AWSWAF Classic Regional Regelgruppen sollten mindestens eine Regel haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.4 | AWSWAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.6 | AWSGlobale WAF Classic-Regeln sollten mindestens eine Bedingung haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.7 | AWSGlobale WAF Classic-Regelgruppen sollten mindestens eine Regel haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.8 | AWSWAF Classic Global Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.10 | AWSDas WAF-Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.11 | AWSDie WAF-Web-ACL-Protokollierung sollte aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| WAF. 12 | AWSBei WAF-Regeln sollten Metriken aktiviert sein CloudWatch | AWSBewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | |
Änderung ausgelöst |
| WorkSpaces1. | WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst | |
| WorkSpaces2. | WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden | AWSBewährte grundlegende Sicherheitsmethoden | MITTEL | Änderung ausgelöst |
