Vom Service verwalteter Standard: AWS Control Tower

Dieser Abschnitt enthält Informationen zum Service-Managed Standard: AWS Control Tower.

Was ist Service-Managed Standard:? AWS Control Tower

Dieser Standard richtet sich an Benutzer von AWS Security Hub und AWS Control Tower. Damit können Sie die proaktiven Kontrollen AWS Control Tower neben den detektiven Kontrollen von Security Hub im AWS Control Tower Service konfigurieren.

Proaktive Kontrollen tragen dazu bei, dass Sie die Vorschriften AWS-Konten einhalten, da sie Aktionen kennzeichnen, die zu Richtlinienverstößen oder Fehlkonfigurationen führen können. Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten Indem Sie proaktive und detektive Kontrollen für Ihre AWS Umgebung aktivieren, können Sie Ihre Sicherheitslage in verschiedenen Entwicklungsphasen verbessern.

Tipp

Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter Vom Service verwaltete Standards.

In der Security Hub Hub-Konsole und der API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub Hub-Standards anzeigen.

Den Standard erstellen

Dieser Standard ist nur verfügbar, wenn Sie den Standard in erstellen AWS Control Tower. AWS Control Tower erstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:

• AWS Control Tower Konsole

• AWS Control Tower API (rufen Sie die EnableControlAPI auf)

• AWS CLI (führe den enable-controlBefehl aus)

Security Hub-Steuerelemente werden in der AWS Control Tower Konsole als SH identifiziert. ControlID (zum Beispiel SH). CodeBuild.1).

Wenn Sie den Standard erstellen und Security Hub noch nicht aktiviert haben, wird Security Hub AWS Control Tower auch für Sie aktiviert.

Wenn Sie ihn nicht eingerichtet haben AWS Control Tower, können Sie diesen Standard in der Security Hub-Konsole, der Security Hub-API oder nicht anzeigen oder darauf zugreifen AWS CLI. Selbst wenn Sie ihn eingerichtet haben AWS Control Tower, können Sie diesen Standard in Security Hub nicht anzeigen oder darauf zugreifen, ohne den Standard zuerst AWS Control Tower mit einer der oben genannten Methoden zu erstellen.

Dieser Standard ist nur dort verfügbar, AWS-Regionen wo er verfügbar AWS Control Tower ist, einschließlich AWS GovCloud (US).

Steuerungen im Standard aktivieren und deaktivieren

Nachdem Sie den Standard in der AWS Control Tower Konsole erstellt haben, können Sie den Standard und die verfügbaren Steuerelemente in beiden Diensten anzeigen.

Nachdem Sie den Standard zum ersten Mal erstellt haben, enthält er keine Steuerelemente, die automatisch aktiviert werden. Wenn Security Hub neue Steuerelemente hinzufügt, werden diese außerdem nicht automatisch für Service-Managed Standard: AWS Control Tower aktiviert. Sie sollten die Kontrollen für den Standard AWS Control Tower mithilfe einer der folgenden Methoden aktivieren und deaktivieren:

• AWS Control Tower Konsole

• AWS Control Tower API (rufen Sie die DisableControlAPIs EnableControlund auf)

• AWS CLI (führe die disable-controlBefehle enable-controlund aus)

Wenn Sie den Aktivierungsstatus eines Steuerelements in ändern AWS Control Tower, wird die Änderung auch in Security Hub widergespiegelt.

Die Deaktivierung eines Steuerelements in Security Hub, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als Drifted angezeigt. Sie können diese Abweichung beheben, indem Sie in der AWS Control Tower Konsole die Option OU erneut registrieren auswählen oder die Steuerung AWS Control Tower mithilfe einer der oben genannten Methoden deaktivieren und erneut aktivieren.

Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower

Wenn Sie Kontrollen in aktivieren oder deaktivieren AWS Control Tower, gilt die Aktion für alle Konten und Regionen. Wenn Sie Steuerungen in Security Hub aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.

Anmerkung

Die zentrale Konfiguration kann nicht zur Verwaltung von Service-Managed Standard: AWS Control Tower verwendet werden. Wenn Sie die zentrale Konfiguration verwenden, können Sie nur den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard für ein zentral verwaltetes Konto zu aktivieren und zu deaktivieren.

Aktivierungsstatus und Kontrollstatus anzeigen

Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:

• Security Hub Hub-Konsole, Security Hub Hub-API oder AWS CLI

• AWS Control Tower Konsole

• AWS Control Tower API, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die ListEnabledControlsAPI auf)

• AWS CLI um eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den list-enabled-controlsBefehl aus)

Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus Disabled in Security Hub, sofern Sie dieses Steuerelement nicht ausdrücklich in Security Hub aktivieren.

Security Hub berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. Details für ein Steuerelement anzeigen

Auf der Grundlage des Kontrollstatus berechnet Security Hub eine Sicherheitsbewertung für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub verfügbar. Darüber hinaus können Sie Kontrollergebnisse nur in Security Hub anzeigen. Die Standardsicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar AWS Control Tower.

Anmerkung

Wenn Sie Kontrollen für Service-Managed Standard: aktivieren AWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub aktiviert haben. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.

Den Standard löschen

Sie können diesen Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:

• AWS Control Tower Konsole

• AWS Control Tower API (rufen Sie die DisableControlAPI auf)

• AWS CLI (führe den disable-controlBefehl aus)

Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und kontrollierten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite Standards der Security Hub Hub-Konsole AWS Control Tower entfernt, und Sie können nicht mehr über die Security Hub Hub-API oder darauf zugreifen AWS CLI.

Anmerkung

Wenn Sie alle Steuerelemente aus dem Standard in Security Hub deaktivieren, wird der Standard nicht deaktiviert oder gelöscht.

Durch die Deaktivierung des Security Hub Hub-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.

Das Feldformat für Service-Managed Standard finden: AWS Control Tower

Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub. Security Hub meldet Kontrollergebnisse in derAWS Format für Sicherheitssuche (ASFF). Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards undGeneratorId:

• Standard-ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unterErgebnisse der Stichprobenkontrolle.

Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower

Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards ( AWS Foundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus der folgenden Tabelle aus, um Informationen zu diesem Steuerelement, einschließlich der Schritte zur Behebung fehlgeschlagener Ergebnisse, anzuzeigen.

Die folgende Liste zeigt die verfügbaren Steuerelemente für Service-Managed Standard:. AWS Control Tower Die regionalen Grenzwerte für Kontrollen entsprechen den regionalen Grenzwerten für die entsprechenden Kontrollen im FSBP-Standard. Diese Liste enthält standardunabhängige IDs für Sicherheitskontrollen. In der AWS Control Tower Konsole sind die Kontroll-IDs als SH formatiert. ControlID (zum Beispiel SH). CodeBuild.1). Wenn in Security Hub konsolidierte Kontrollergebnisse in Ihrem Konto deaktiviert sind, verwendet das ProductFields.ControlId Feld die standardbasierte Kontroll-ID. Die standardbasierte Kontroll-ID ist als CT formatiert. ControlId(zum Beispiel CT. CodeBuild.1).

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ApiGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

• [ApiGateway.2] API Gateway REST-API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [ApiGateway.3] Bei den REST-API-Stufen von API Gateway sollte die Ablaufverfolgung aktiviert sein AWS X-Ray

• [ApiGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [ApiGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden

• [ApiGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [ApiGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppSync.5] AWS AppSync GraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2-Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [Autoscaling.5] Amazon EC2 EC2-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten Amazon EC2 EC2-Startvorlagen verwenden

• [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

• [CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

• [CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

• [CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CodeBuild.1] Die URLs des CodeBuild Bitbucket-Quell-Repositorys sollten keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

• [EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden

• [EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

• [EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

• [EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden

• [EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche IPv4-Adresse haben

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden

• [EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Unbenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere ENIs verwenden

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen

• [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site-VPN-Verbindung sollten aktiv sein

• [EC2.21] Netzwerk-ACLs sollten keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [ElastiCache.3] ElastiCache Für Redis-Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache für Redis-Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache für Redis-Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] ElastiCache Für Redis-Replikationsgruppen vor Version 6.0 sollte Redis AUTH verwendet werden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass HTTP-Header gelöscht werden

• [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

• [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

• [ELB.7] Bei Classic Load Balancers sollte der Verbindungsverlust aktiviert sein

• [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein

• [ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben

• [ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden

• [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden

• [KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

• [Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.2] RDS-DB-Instances sollten je nach Dauer den öffentlichen Zugriff verbieten PubliclyAccessible AWS Config

• [RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

• [RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

• [RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden

• [RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein

• [RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden

• [RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden

• [RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden

• [RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden

• [RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden

• [RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden

• [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren

• [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren

• [S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein

• [S3.12] ACLs sollten nicht verwendet werden, um den Benutzerzugriff auf S3-Allzweck-Buckets zu verwalten

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

• [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

• [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Klassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben

Weitere Informationen zu diesem Standard finden Sie unter Security Hub-Steuerelemente im AWS Control Tower Benutzerhandbuch.