Keamanan

Deskripsi

Memeriksa apakah periode penyimpanan grup CloudWatch log Amazon disetel ke 365 hari atau nomor tertentu lainnya.

Secara default, log disimpan tanpa batas waktu dan tidak pernah kedaluwarsa. Namun, Anda dapat menyesuaikan kebijakan penyimpanan untuk setiap grup log untuk mematuhi peraturan industri atau persyaratan hukum untuk periode tertentu.

Anda dapat menentukan waktu penyimpanan minimum dan nama grup log menggunakan parameter LogGroupNama dan MinRetentionWaktu dalam AWS Config aturan Anda.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

c18d2gz186

Sumber

AWS Config Managed Rule: cw-loggroup-retention-period-check

Kriteria Peringatan

Kuning: Periode retensi grup CloudWatch log Amazon kurang dari jumlah hari minimum yang diinginkan.

Tindakan yang Direkomendasikan

Konfigurasikan periode penyimpanan lebih dari 365 hari untuk data log Anda yang disimpan di CloudWatch Log Amazon untuk memenuhi persyaratan kepatuhan.

Untuk informasi selengkapnya, lihat Mengubah penyimpanan data CloudWatch log di Log.

Sumber Daya Tambahan

Mengubah retensi CloudWatch log

Kolom laporan

Status
Wilayah
Sumber Daya
AWS Config Aturan
Parameter Input
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa instans Amazon Elastic Compute Cloud (Amazon EC2) versi SQL Server yang berjalan dalam 24 jam terakhir. Pemeriksaan ini memberi tahu Anda jika versi sudah dekat atau telah mencapai akhir dukungan. Setiap versi SQL Server menawarkan 10 tahun dukungan, termasuk 5 tahun dukungan mainstream dan 5 tahun dukungan diperpanjang. Setelah dukungan berakhir, versi SQL Server tidak akan menerima pembaruan keamanan reguler. Menjalankan aplikasi dengan versi SQL Server yang tidak didukung dapat membawa risiko keamanan atau kepatuhan.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

Qsdfp3A4L3

Kriteria Peringatan

Merah: Instans EC2 memiliki versi SQL Server yang mencapai akhir dukungan.
Kuning: Instans EC2 memiliki versi SQL Server yang akan mencapai akhir dukungan dalam 12 bulan.

Tindakan yang Direkomendasikan

Untuk memodernisasi beban kerja SQL Server Anda, pertimbangkan refactoring ke database asli seperti Amazon Aurora. AWS Cloud Untuk informasi selengkapnya, lihat Memodernisasi Beban Kerja Windows dengan. AWS

Untuk beralih ke database yang dikelola sepenuhnya, pertimbangkan replatforming ke Amazon Relational Database Service (Amazon RDS). Untuk informasi selengkapnya, lihat Amazon RDS for SQL Server.

Untuk memutakhirkan SQL Server Anda di Amazon EC2, pertimbangkan untuk menggunakan runbook otomatisasi untuk menyederhanakan pemutakhiran Anda. Untuk informasi lebih lanjut, lihat dokumentasi AWS Systems Manager.

Jika Anda tidak dapat memutakhirkan SQL Server di Amazon EC2, pertimbangkan Program Migrasi Akhir Dukungan (EMP) untuk Windows Server. Untuk informasi lebih lanjut, lihat Situs Web EMP.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
ID Instans
Versi SQL Server
Support Siklus
Akhir dari Support
Waktu Terakhir Diperbarui

Deskripsi

Pemeriksaan ini memberi tahu Anda jika versi sudah dekat atau telah mencapai akhir dukungan. Setiap versi Windows Server menawarkan dukungan selama 10 tahun. Ini termasuk 5 tahun dukungan arus utama dan 5 tahun dukungan diperpanjang. Setelah dukungan berakhir, versi Windows Server tidak akan menerima pembaruan keamanan reguler. Jika Anda menjalankan aplikasi dengan versi Windows Server yang tidak didukung, Anda berisiko keamanan atau kepatuhan aplikasi ini.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

Qsdfp3A4L4

Kriteria Peringatan

Merah: Instans EC2 memiliki versi Windows Server yang mencapai akhir dukungan (Windows Server 2003, 2003 R2, 2008, dan 2008 R2).
Kuning: Instans EC2 memiliki versi Windows Server yang akan mencapai akhir dukungan dalam waktu kurang dari 18 bulan (Windows Server 2012 dan 2012 R2).

Tindakan yang Direkomendasikan

Untuk memodernisasi beban kerja Windows Server Anda, pertimbangkan berbagai opsi yang tersedia di Modernisasi Beban Kerja Windows dengan. AWS

Untuk memutakhirkan beban kerja Windows Server agar berjalan pada versi Windows Server yang lebih baru, Anda dapat menggunakan runbook otomatisasi. Untuk informasi selengkapnya, lihat dokumentasi AWS Systems Manager.

Silakan ikuti serangkaian langkah di bawah ini:

Tingkatkan versi Windows Server
Berhenti keras dan mulai saat meningkatkan
Jika menggunakan EC2config, silakan bermigrasi ke EC2launch

Kolom laporan

Status
Wilayah
ID Instans
Versi Server Windows
Support Siklus
Akhir dari Support
Waktu Terakhir Diperbarui

Deskripsi

Pemeriksaan ini memberi tahu Anda jika versi sudah dekat atau telah mencapai akhir dukungan standar. Penting untuk mengambil tindakan - baik dengan bermigrasi ke LTS berikutnya atau meningkatkan ke Ubuntu Pro. Setelah dukungan berakhir, mesin LTS 18.04 Anda tidak akan menerima pembaruan keamanan apa pun. Dengan langganan Ubuntu Pro, penerapan Ubuntu 18.04 LTS Anda dapat menerima Expanded Security Maintenance (ESM) hingga 2028. Kerentanan keamanan yang tetap tidak ditambal membuka sistem Anda untuk peretas dan potensi pelanggaran besar.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

c1dfprch15

Kriteria Peringatan

Merah: Instans Amazon EC2 memiliki versi Ubuntu yang mencapai akhir dukungan standar (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS, dan 18.04.6 LTS).

Kuning: Instans Amazon EC2 memiliki versi Ubuntu yang akan mencapai akhir dukungan standar dalam waktu kurang dari 6 bulan (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS, dan 20.04.6 LTS).

Hijau: Semua instans Amazon EC2 sesuai.

Tindakan yang Direkomendasikan

Untuk memutakhirkan instance Ubuntu 18.04 LTS ke versi LTS yang didukung, ikuti langkah-langkah yang disebutkan dalam artikel ini. Untuk memutakhirkan instance Ubuntu 18.04 LTS ke Ubuntu Pro, kunjungi AWS License Manager konsol dan ikuti langkah-langkah yang disebutkan dalam panduan pengguna.AWS License Manager Anda juga dapat merujuk ke blog Ubuntu yang menunjukkan demo langkah demi langkah untuk meningkatkan instance Ubuntu ke Ubuntu Pro.

Sumber Daya Tambahan

Untuk informasi tentang harga, hubungi AWS Support.

Kolom laporan

Status
Wilayah
Versi Ubuntu Lts
Tanggal Akhir Dukungan yang Diharapkan
ID Instans
Support Siklus
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa apakah sistem file Amazon EFS dipasang menggunakan data-in-transit enkripsi. AWS merekomendasikan agar pelanggan menggunakan data-in-transit enkripsi untuk semua aliran data untuk melindungi data dari paparan yang tidak disengaja atau akses yang tidak sah. Amazon EFS merekomendasikan klien menggunakan pengaturan pemasangan '-o tls' menggunakan helper mount Amazon EFS untuk mengenkripsi data dalam perjalanan menggunakan TLS v1.2.

ID pemeriksaan

c1dfpnchv1

Kriteria Peringatan

Kuning: Satu atau lebih klien NFS untuk sistem file Amazon EFS Anda tidak menggunakan pengaturan pemasangan yang disarankan yang menyediakan data-in-transit enkripsi.

Hijau: Semua klien NFS untuk sistem file Amazon EFS Anda menggunakan pengaturan pemasangan yang disarankan yang menyediakan data-in-transit enkripsi.

Tindakan yang Direkomendasikan

Untuk memanfaatkan fitur data-in-transit enkripsi di Amazon EFS, sebaiknya Anda memasang ulang sistem file menggunakan helper mount Amazon EFS dan pengaturan pemasangan yang disarankan.

catatan

Beberapa distribusi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS secara default. Jika Anda menggunakan distribusi Linux yang tidak didukung (lihat distribusi yang didukung di sini), sebaiknya Anda memutakhirkannya sebelum melakukan remounting dengan pengaturan pemasangan yang disarankan.

Sumber Daya Tambahan

Mengenkripsi data dalam perjalanan

Kolom laporan

Status
Wilayah
ID Sistem Berkas EFS
AZ dengan Koneksi Tidak Terenkripsi
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa pengaturan izin untuk snapshot volume Amazon Elastic Block Store (Amazon EBS) Anda dan memberi tahu Anda jika ada snapshot yang dapat diakses publik.

Saat Anda membuat snapshot publik, Anda memberi semua Akun AWS dan pengguna akses ke semua data pada snapshot. Untuk membagikan snapshot hanya dengan pengguna atau akun tertentu, tandai snapshot sebagai pribadi. Kemudian, tentukan pengguna atau akun yang ingin Anda bagikan data snapshot. Perhatikan bahwa jika Anda mengaktifkan Blokir Akses Publik dalam mode 'blokir semua berbagi', maka snapshot publik Anda tidak dapat diakses publik dan tidak muncul di hasil pemeriksaan ini.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul.

ID pemeriksaan

ePs02jT06w

Kriteria Peringatan

Merah: Snapshot volume EBS dapat diakses publik.

Tindakan yang Direkomendasikan

Kecuali Anda yakin ingin membagikan semua data dalam snapshot dengan semua Akun AWS dan pengguna, ubah izin: tandai snapshot sebagai pribadi, lalu tentukan akun yang ingin Anda berikan izin. Untuk informasi selengkapnya, lihat Berbagi Snapshot Amazon EBS. Gunakan Blokir Akses Publik untuk Snapshot EBS untuk mengontrol pengaturan yang memungkinkan akses publik ke data Anda. Pemeriksaan ini tidak dapat dikecualikan dari tampilan di Trusted Advisor konsol.

Untuk mengubah izin snapshot Anda secara langsung, gunakan runbook di konsol. AWS Systems Manager Untuk informasi selengkapnya, lihat AWSSupport-ModifyEBSSnapshotPermission.

Sumber Daya Tambahan

Cuplikan Amazon EBS

Kolom laporan

Status
Wilayah
ID Volume
ID Cuplikan
Deskripsi

Deskripsi

Amazon RDS mendukung enkripsi saat istirahat untuk semua mesin database dengan menggunakan kunci yang Anda kelola. AWS Key Management Service Pada instans DB aktif dengan enkripsi Amazon RDS, data yang disimpan saat istirahat di penyimpanan dienkripsi, mirip dengan pencadangan otomatis, replika baca, dan snapshot.

Jika enkripsi tidak diaktifkan saat membuat cluster Aurora DB, maka Anda harus mengembalikan snapshot yang didekripsi ke cluster DB terenkripsi.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

catatan

Ketika instans DB atau cluster DB dihentikan, Anda dapat melihat rekomendasi Amazon RDS Trusted Advisor selama 3 hingga 5 hari. Setelah lima hari, rekomendasi tidak tersedia di Trusted Advisor. Untuk melihat rekomendasi, buka konsol Amazon RDS, lalu pilih Rekomendasi.

Jika Anda menghapus instans DB atau kluster DB, maka rekomendasi yang terkait dengan instans atau cluster tersebut tidak tersedia di Trusted Advisor atau konsol manajemen Amazon RDS.

ID pemeriksaan

c1qf5bt005

Kriteria Peringatan

Merah: Sumber daya Amazon RDS Aurora tidak mengaktifkan enkripsi.

Tindakan yang Direkomendasikan

Aktifkan enkripsi data saat istirahat untuk cluster DB Anda.

Sumber Daya Tambahan

Anda dapat mengaktifkan enkripsi saat membuat instans DB atau menggunakan solusi untuk mengaktifkan enkripsi pada instans DB aktif. Anda tidak dapat memodifikasi cluster DB yang didekripsi ke cluster DB terenkripsi. Namun, Anda dapat mengembalikan snapshot yang didekripsi ke cluster DB terenkripsi. Saat Anda memulihkan dari snapshot yang didekripsi, Anda harus menentukan kunci. AWS KMS

Untuk informasi selengkapnya, lihat Mengenkripsi sumber daya Amazon Aurora.

Kolom laporan

Status
Wilayah
Resouce
Nama Mesin
Waktu Terakhir Diperbarui

Deskripsi

Sumber daya database Anda tidak menjalankan versi mesin DB minor terbaru. Versi minor terbaru berisi perbaikan keamanan terbaru dan peningkatan lainnya.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

catatan

Ketika instans DB atau cluster DB dihentikan, Anda dapat melihat rekomendasi Amazon RDS Trusted Advisor selama 3 hingga 5 hari. Setelah lima hari, rekomendasi tidak tersedia di Trusted Advisor. Untuk melihat rekomendasi, buka konsol Amazon RDS, lalu pilih Rekomendasi.

Jika Anda menghapus instans DB atau kluster DB, maka rekomendasi yang terkait dengan instans atau cluster tersebut tidak tersedia di Trusted Advisor atau konsol manajemen Amazon RDS.

ID pemeriksaan

c1qf5bt003

Kriteria Peringatan

Merah: Sumber daya Amazon RDS tidak menjalankan versi mesin DB minor terbaru.

Tindakan yang Direkomendasikan

Tingkatkan ke versi mesin terbaru.

Sumber Daya Tambahan

Kami menyarankan Anda memelihara database Anda dengan versi minor mesin DB terbaru karena versi ini mencakup perbaikan keamanan dan fungsionalitas terbaru. Upgrade versi minor DB engine hanya berisi perubahan yang kompatibel dengan versi minor sebelumnya dari versi utama yang sama dari mesin DB.

Untuk informasi selengkapnya, lihat Memutakhirkan versi mesin instans DB.

Kolom laporan

Status
Wilayah
Resouce
Nama Mesin
Versi Mesin Saat Ini
Nilai yang Direkomendasikan
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa pengaturan izin untuk snapshot DB Amazon Relational Database Service (Amazon RDS) Anda dan memberi tahu Anda jika ada snapshot yang ditandai sebagai publik.

Saat Anda membuat snapshot publik, Anda memberi semua Akun AWS dan pengguna akses ke semua data pada snapshot. Jika Anda ingin berbagi snapshot hanya dengan pengguna atau akun tertentu, tandai snapshot sebagai pribadi. Kemudian, tentukan pengguna atau akun yang ingin Anda bagikan data snapshot.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul.

ID pemeriksaan

rSs93HQwa1

Kriteria Peringatan

Merah: Snapshot Amazon RDS ditandai sebagai publik.

Tindakan yang Direkomendasikan

Kecuali Anda yakin ingin membagikan semua data dalam snapshot dengan semua Akun AWS dan pengguna, ubah izin: tandai snapshot sebagai pribadi, lalu tentukan akun yang ingin Anda berikan izin. Untuk informasi selengkapnya, lihat Berbagi Snapshot DB atau Snapshot Cluster DB. Pemeriksaan ini tidak dapat dikecualikan dari tampilan di Trusted Advisor konsol.

Untuk mengubah izin snapshot Anda secara langsung, Anda dapat menggunakan runbook di konsol. AWS Systems Manager Untuk informasi selengkapnya, lihat AWSSupport-ModifyRDSSnapshotPermission.

Sumber Daya Tambahan

Mencadangkan dan Memulihkan Instans Amazon RDS DB

Kolom laporan

Status
Wilayah
Instans DB atau ID Cluster
ID Cuplikan

Deskripsi

Memeriksa konfigurasi grup keamanan untuk Amazon Relational Database Service (Amazon RDS) dan memperingatkan ketika aturan grup keamanan memberikan akses yang terlalu permisif ke database Anda. Konfigurasi yang disarankan untuk aturan grup keamanan adalah mengizinkan akses hanya dari grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) tertentu atau dari alamat IP tertentu.

ID pemeriksaan

nNauJisYIT

Kriteria Peringatan

Kuning: Aturan grup keamanan DB merujuk pada grup keamanan Amazon EC2 yang memberikan akses global pada salah satu port ini: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Kuning: Aturan grup keamanan DB memberikan akses ke lebih dari satu alamat IP (akhiran aturan CIDR bukan /0 atau/32).
Merah: Aturan grup keamanan DB memberikan akses global (akhiran aturan CIDR adalah /0).

Tindakan yang Direkomendasikan

Tinjau aturan grup keamanan Anda dan batasi akses ke alamat IP resmi atau rentang IP. Untuk mengedit grup keamanan, gunakan AuthorizeDB SecurityGroup Ingress API atau file. AWS Management Console Untuk informasi selengkapnya, lihat Bekerja dengan Grup Keamanan DB.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Grup Keamanan RDS
Aturan Masuk
Alasan

Deskripsi

Amazon RDS mendukung enkripsi saat istirahat untuk semua mesin database dengan menggunakan kunci yang Anda kelola. AWS Key Management Service Pada instans DB aktif dengan enkripsi Amazon RDS, data yang disimpan saat istirahat di penyimpanan dienkripsi, mirip dengan pencadangan otomatis, replika baca, dan snapshot.

Jika enkripsi tidak diaktifkan saat membuat instans DB, maka Anda harus mengembalikan salinan terenkripsi dari snapshot yang didekripsi sebelum Anda mengaktifkan enkripsi.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

catatan

Ketika instans DB atau cluster DB dihentikan, Anda dapat melihat rekomendasi Amazon RDS Trusted Advisor selama 3 hingga 5 hari. Setelah lima hari, rekomendasi tidak tersedia di Trusted Advisor. Untuk melihat rekomendasi, buka konsol Amazon RDS, lalu pilih Rekomendasi.

Jika Anda menghapus instans DB atau kluster DB, maka rekomendasi yang terkait dengan instans atau cluster tersebut tidak tersedia di Trusted Advisor atau konsol manajemen Amazon RDS.

ID pemeriksaan

c1qf5bt006

Kriteria Peringatan

Merah: Sumber daya Amazon RDS tidak mengaktifkan enkripsi.

Tindakan yang Direkomendasikan

Aktifkan enkripsi data saat istirahat untuk instans DB Anda.

Sumber Daya Tambahan

Anda dapat mengenkripsi instans DB hanya ketika Anda membuat instans DB. Untuk mengenkripsi instans DB aktif yang ada:

Buat salinan terenkripsi dari instans DB asli

Buat snapshot instans DB Anda.
Buat salinan terenkripsi dari snapshot yang dibuat pada langkah 1.
Kembalikan instance DB dari snapshot terenkripsi.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Kolom laporan

Status
Wilayah
Resouce
Nama Mesin
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa Zona Dihosting Amazon Route 53 dengan catatan CNAME yang mengarah langsung ke nama host bucket Amazon S3 dan peringatan jika CNAME Anda tidak cocok dengan nama bucket S3 Anda.

ID pemeriksaan

c1ng44jvbm

Kriteria Peringatan

Merah: Amazon Route 53 Hosted Zone memiliki catatan CNAME yang menunjuk ke nama host bucket S3 yang tidak cocok.

Hijau: Tidak ada catatan CNAME yang tidak cocok yang ditemukan di Zona Dihosting Amazon Route 53 Anda.

Tindakan yang Direkomendasikan

Saat mengarahkan catatan CNAME ke nama host bucket S3, Anda harus memastikan ada bucket yang cocok untuk catatan CNAME atau alias yang Anda konfigurasikan. Dengan melakukan ini, Anda menghindari risiko catatan CNAME Anda dipalsukan. Anda juga mencegah AWS pengguna yang tidak sah menghosting konten web yang salah atau berbahaya dengan domain Anda.

Untuk menghindari mengarahkan catatan CNAME langsung ke nama host bucket S3, pertimbangkan untuk menggunakan kontrol akses asal (OAC) untuk mengakses aset web bucket S3 Anda melalui Amazon. CloudFront

Untuk informasi selengkapnya tentang mengaitkan CNAME dengan nama host bucket Amazon S3, lihat Menyesuaikan URL Amazon S3 dengan catatan CNAME.

Sumber Daya Tambahan

Kolom laporan

Status
ID Zona yang Dihosting
Zona yang Dihosting ARN
Mencocokkan Catatan CNAME
Catatan CNAME yang tidak cocok
Waktu Terakhir Diperbarui

Deskripsi

Untuk setiap kumpulan rekaman sumber daya MX, periksa apakah kumpulan catatan sumber daya TXT atau SPF berisi catatan SPF yang valid. Catatan harus dimulai dengan "v=spf1”. Catatan SPF menentukan server yang berwenang untuk mengirim email untuk domain Anda, yang membantu mendeteksi dan menghentikan spoofing alamat email dan untuk mengurangi spam. Route 53 merekomendasikan agar Anda menggunakan catatan TXT alih-alih catatan SPF. Trusted Advisor melaporkan pemeriksaan ini berwarna hijau selama setiap set catatan sumber daya MX memiliki setidaknya satu catatan SPF atau TXT.

ID pemeriksaan

c9D319e7sG

Kriteria Peringatan

Kuning: Kumpulan catatan sumber daya MX tidak memiliki catatan sumber daya TXT atau SPF yang berisi nilai SPF yang valid.

Tindakan yang Direkomendasikan

Untuk setiap kumpulan rekaman sumber daya MX, buat kumpulan catatan sumber daya TXT yang berisi nilai SPF yang valid. Untuk informasi selengkapnya, lihat Kerangka Kebijakan Pengirim: Sintaks Rekaman SPF dan Membuat Kumpulan Rekaman Sumber Daya Dengan Menggunakan Konsol Amazon Route 53.

Sumber Daya Tambahan

Kolom laporan

Nama Zona yang Dihosting
ID Zona yang Dihosting
Nama Set Rekaman Sumber Daya
Status

Deskripsi

Memeriksa bucket di Amazon Simple Storage Service (Amazon S3) yang memiliki izin akses terbuka, atau yang memungkinkan akses ke pengguna yang diautentikasi. AWS

Pemeriksaan ini memeriksa izin bucket eksplisit, serta kebijakan bucket yang mungkin mengganti izin tersebut. Memberikan izin akses daftar ke semua pengguna untuk bucket Amazon S3 tidak disarankan. Izin ini dapat menyebabkan pengguna yang tidak diinginkan mencantumkan objek di bucket pada frekuensi tinggi, yang dapat menghasilkan biaya yang lebih tinggi dari yang diharapkan. Izin yang memberikan akses unggah dan hapus ke semua orang dapat menyebabkan kerentanan keamanan di bucket Anda.

ID pemeriksaan

Pfx0RwqBli

Kriteria Peringatan

Kuning: Bucket ACL memungkinkan akses Daftar untuk Semua Orang atau Pengguna Terautentikasi. AWS
Kuning: Kebijakan bucket memungkinkan segala jenis akses terbuka.
Kuning: Kebijakan Bucket memiliki pernyataan yang memberikan akses publik. Blokir akses publik dan lintas akun ke bucket yang memiliki pengaturan kebijakan publik diaktifkan dan telah membatasi akses hanya ke pengguna yang berwenang dari akun tersebut hingga pernyataan publik dihapus.
Kuning: Trusted Advisor tidak memiliki izin untuk memeriksa kebijakan, atau kebijakan tidak dapat dievaluasi karena alasan lain.
Merah: Bucket ACL memungkinkan akses unggah dan hapus untuk Semua Orang atau Pengguna Terautentikasi. AWS

Tindakan yang Direkomendasikan

Jika bucket memungkinkan akses terbuka, tentukan apakah akses terbuka benar-benar diperlukan. Jika tidak, perbarui izin bucket untuk membatasi akses ke pemilik atau pengguna tertentu. Gunakan Amazon S3 Blokir Akses Publik untuk mengontrol pengaturan yang memungkinkan akses publik ke data Anda. Lihat Menyetel Bucket dan Izin Akses Objek.

Sumber Daya Tambahan

Mengelola Izin Akses ke Sumber Daya Amazon S3 Anda

Kolom laporan

Status
Nama wilayah
Parameter API Wilayah
Nama Bucket
ACL Memungkinkan Daftar
ACL Memungkinkan Upload/Delete
Kebijakan Memungkinkan Akses

Deskripsi

Memeriksa konfigurasi logging bucket Amazon Simple Storage Service.

Saat pencatatan akses server diaktifkan, log akses terperinci dikirimkan setiap jam ke bucket yang Anda pilih. Catatan log akses berisi rincian tentang setiap permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan, dan waktu dan tanggal permintaan diproses. Secara default, pencatatan bucket tidak diaktifkan. Anda harus mengaktifkan pencatatan jika ingin melakukan audit keamanan atau mempelajari lebih lanjut tentang pengguna dan pola penggunaan.

Ketika logging awalnya diaktifkan, konfigurasi secara otomatis divalidasi. Namun, modifikasi future dapat mengakibatkan kegagalan logging. Pemeriksaan ini memeriksa izin bucket Amazon S3 eksplisit. Cara terbaik adalah menggunakan kebijakan bucket untuk mengontrol izin bucket, namun ACL juga dapat digunakan.

ID pemeriksaan

c1fd6b96l4

Kriteria Peringatan

Kuning: Bucket tidak mengaktifkan pencatatan akses server.
Kuning: Izin bucket target tidak menyertakan akun root, jadi Trusted Advisor tidak dapat memeriksanya.
Merah: Ember target tidak ada.
Merah: Ember target dan ember sumber memiliki pemilik yang berbeda.
Merah: Pengirim log tidak memiliki izin menulis untuk bucket target.
Hijau: Bucket mengaktifkan pencatatan akses server, target ada, dan izin untuk menulis ke target ada

Tindakan yang Direkomendasikan

Aktifkan pencatatan ember untuk sebagian besar ember. Lihat Mengaktifkan Pencatatan Menggunakan Konsol dan Mengaktifkan Pencatatan Secara Terprogram.

Jika izin bucket target tidak menyertakan akun root dan Anda Trusted Advisor ingin memeriksa status logging, tambahkan akun root sebagai penerima hibah. Lihat Mengedit Izin Bucket.

Jika bucket target tidak ada, pilih bucket yang sudah ada sebagai target atau buat bucket baru dan pilih bucket tersebut. Lihat Mengelola Bucket Logging.

Jika target dan sumber memiliki pemilik yang berbeda, ubah bucket target menjadi bucket yang memiliki pemilik yang sama dengan bucket sumber. Lihat Mengelola Bucket Logging.

Jika pengirim log tidak memiliki izin menulis untuk target (Tulis tidak diaktifkan), berikan izin Unggah/Hapus ke grup Pengiriman Log. Disarankan menggunakan kebijakan bucket melalui ACL. Lihat Mengedit Izin Bucket dan Izin untuk Pengiriman Log.

Sumber Daya Tambahan

Bekerja dengan ember

Pencatatan akses server

Format log akses server

Menghapus file log

Kolom laporan

Status
Wilayah
ARN Sumber Daya
Nama Bucket
Nama Target
Target Ada
Pemilik yang sama
Menulis Diaktifkan
Alasan
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa apakah koneksi peering VPC Anda mengaktifkan resolusi DNS untuk vPC akseptor dan pemohon.

Resolusi DNS untuk koneksi peering VPC memungkinkan resolusi nama host DNS publik ke alamat IPv4 pribadi saat ditanyakan dari VPC Anda. Hal ini memungkinkan penggunaan nama DNS untuk komunikasi antara sumber daya dalam VPC peered. Resolusi DNS dalam koneksi peering VPC Anda membuat pengembangan dan manajemen aplikasi lebih sederhana dan tidak terlalu rawan kesalahan, dan memastikan bahwa sumber daya selalu berkomunikasi secara pribadi melalui koneksi peering VPC.

Anda dapat menentukan ID VPC, menggunakan parameter VPCIDS dalam aturan Anda. AWS Config

Untuk informasi selengkapnya, lihat Mengaktifkan resolusi DNS untuk koneksi peering VPC.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

c18d2gz124

Sumber

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Kriteria Peringatan

Kuning: Resolusi DNS tidak diaktifkan untuk akseptor dan VPC pemohon dalam koneksi peering VPC.

Tindakan yang Direkomendasikan

Aktifkan resolusi DNS untuk koneksi peering VPC Anda.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Sumber Daya
AWS Config Aturan
Parameter Input
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa apakah AWS Backup vault memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan.

Kebijakan berbasis sumber daya mencegah penghapusan titik pemulihan yang tidak terduga, yang memungkinkan Anda untuk menerapkan kontrol akses dengan hak istimewa paling sedikit terhadap data cadangan Anda.

Anda dapat menentukan AWS Identity and Access Management ARN yang Anda tidak ingin aturan untuk memeriksa ArnList parameter utama AWS Config aturan Anda.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

c18d2gz152

Sumber

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Kriteria Peringatan

Kuning: Ada AWS Backup brankas yang tidak memiliki kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan.

Tindakan yang Direkomendasikan

Buat kebijakan berbasis sumber daya untuk AWS Backup brankas Anda untuk mencegah penghapusan titik pemulihan yang tidak terduga.

Kebijakan harus menyertakan pernyataan “Tolak” dengan PutBackupVaultAccessPolicy izin cadangan: DeleteRecovery Point, backup: UpdateRecoveryPointLifecycle, dan backup:.

Untuk informasi selengkapnya, lihat Menetapkan kebijakan akses pada brankas cadangan.

Kolom laporan

Status
Wilayah
Sumber Daya
AWS Config Aturan
Parameter Input
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa penggunaan Anda AWS CloudTrail. CloudTrail memberikan peningkatan visibilitas ke aktivitas Anda Akun AWS dengan merekam informasi tentang panggilan AWS API yang dilakukan di akun. Anda dapat menggunakan log ini untuk menentukan, misalnya, tindakan apa yang telah dilakukan pengguna tertentu selama periode waktu tertentu, atau pengguna mana yang telah mengambil tindakan pada sumber daya tertentu selama periode waktu tertentu.

Karena CloudTrail mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), CloudTrail harus memiliki izin menulis untuk bucket. Jika jejak berlaku untuk semua Wilayah (default saat membuat jejak baru), jejak akan muncul beberapa kali dalam Trusted Advisor laporan.

ID pemeriksaan

vjafUGJ9H0

Kriteria Peringatan

Kuning: CloudTrail melaporkan kesalahan pengiriman log untuk jejak.
Merah: Jejak belum dibuat untuk suatu Wilayah, atau penebangan dimatikan untuk jalan setapak.

Tindakan yang Direkomendasikan

Untuk membuat jejak dan mulai masuk dari konsol, buka AWS CloudTrail konsol.

Untuk memulai logging, lihat Menghentikan dan Memulai Logging untuk Jejak.

Jika Anda menerima kesalahan pengiriman log, periksa untuk memastikan bahwa bucket ada dan kebijakan yang diperlukan dilampirkan ke bucket. Lihat Kebijakan Bucket Amazon S3.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Jejak
Status Pencatatan
Nama Bucket
Tanggal Pengiriman Terakhir

Deskripsi

Memeriksa fungsi Lambda yang versi $LATEST dikonfigurasi untuk menggunakan runtime yang mendekati penghentian, atau tidak digunakan lagi. Runtime yang tidak digunakan lagi tidak memenuhi syarat untuk pembaruan keamanan atau dukungan teknis

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

Versi fungsi Lambda yang diterbitkan tidak dapat diubah, yang berarti mereka dapat dipanggil tetapi tidak diperbarui. Hanya $LATEST versi untuk fungsi Lambda yang dapat diperbarui. Untuk informasi selengkapnya, lihat Versi fungsi Lambda.

ID pemeriksaan

L4dfs2Q4C5

Kriteria Peringatan

Merah: Versi $LATEST fungsi dikonfigurasi untuk menggunakan runtime yang sudah usang.
Kuning: Versi $LATEST fungsi berjalan pada runtime yang akan usang dalam 180 hari.

Tindakan yang Direkomendasikan

Jika Anda memiliki fungsi yang berjalan pada runtime yang mendekati penghentian, Anda harus mempersiapkan migrasi ke runtime yang didukung. Untuk informasi selengkapnya, lihat Kebijakan dukungan Runtime.

Kami menyarankan Anda menghapus versi fungsi sebelumnya yang tidak lagi Anda gunakan.

Sumber Daya Tambahan

Runtime Lambda

Kolom laporan

Status
Wilayah
Fungsi ARN
Waktu Aktif
Hari ke Deprecation
Tanggal penghentian
Rata-rata Pemanggilan Harian
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa masalah risiko tinggi (HRI) untuk beban kerja Anda di pilar keamanan. Pemeriksaan ini didasarkan pada AWS-Well Architected ulasan Anda. Hasil pemeriksaan Anda tergantung pada apakah Anda menyelesaikan evaluasi beban kerja denganAWS Well-Architected.

catatan

Hasil untuk pemeriksaan ini secara otomatis disegarkan beberapa kali setiap hari, dan permintaan penyegaran tidak diizinkan. Mungkin perlu beberapa jam untuk perubahan muncul. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

ID pemeriksaan

Wxdfp4B1L3

Kriteria Peringatan

Merah: Setidaknya satu masalah risiko tinggi aktif diidentifikasi dalam pilar keamanan untuk AWS Well-Architected.
Hijau: Tidak ada masalah risiko tinggi aktif yang terdeteksi di pilar keamanan untuk AWS Well-Architected.

Tindakan yang Direkomendasikan

AWS Well-Architected mendeteksi masalah risiko tinggi selama evaluasi beban kerja Anda. Masalah-masalah ini menghadirkan peluang untuk mengurangi risiko dan menghemat uang. Masuk ke alat AWS Well-Architected untuk meninjau jawaban Anda dan mengambil tindakan untuk menyelesaikan masalah aktif Anda.

Kolom laporan

Status
Wilayah
Beban Kerja ARN
Nama Beban Kerja
Nama Pengulas
Jenis Beban Kerja
Tanggal Mulai Beban Kerja
Beban Kerja Tanggal Modifikasi Terakhir
Jumlah HRI yang diidentifikasi untuk Keamanan
Jumlah HRI yang diselesaikan untuk Keamanan
Jumlah pertanyaan untuk Keamanan
Jumlah total pertanyaan di pilar Keamanan
Waktu Terakhir Diperbarui

Deskripsi

Memeriksa sertifikat SSL untuk nama domain CloudFront alternatif di toko sertifikat IAM. Pemeriksaan ini memberi tahu Anda jika sertifikat kedaluwarsa, akan segera kedaluwarsa, menggunakan enkripsi yang sudah ketinggalan zaman, atau tidak dikonfigurasi dengan benar untuk distribusi.

Ketika sertifikat khusus untuk nama domain alternatif kedaluwarsa, browser yang menampilkan CloudFront konten Anda mungkin menampilkan pesan peringatan tentang keamanan situs web Anda. Sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-1 tidak digunakan lagi oleh browser web seperti Chrome dan Firefox.

Sertifikat harus berisi nama domain yang cocok dengan Nama Domain Asal atau nama domain di header host permintaan penampil. Jika tidak cocok, CloudFront mengembalikan kode status HTTP 502 (gateway buruk) ke pengguna. Untuk informasi lebih lanjut, lihat Menggunakan Nama Domain Alternatif dan HTTPS.

ID pemeriksaan

N425c450f2

Kriteria Peringatan

Merah: Sertifikat SSL khusus kedaluwarsa.
Kuning: Sertifikat SSL khusus kedaluwarsa dalam tujuh hari ke depan.
Kuning: Sertifikat SSL khusus dienkripsi dengan menggunakan algoritma hashing SHA-1.
Kuning: Satu atau beberapa nama domain alternatif dalam distribusi tidak muncul baik di bidang Nama Umum atau bidang Nama Alternatif Subjek dari sertifikat SSL kustom.

Tindakan yang Direkomendasikan

Perpanjang sertifikat yang kedaluwarsa atau sertifikat yang akan kedaluwarsa.

Ganti sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-1 dengan sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-256.

Ganti sertifikat dengan sertifikat yang berisi nilai yang berlaku di bidang Nama Umum atau Nama Domain Alternatif Subjek.

Sumber Daya Tambahan

Menggunakan Koneksi HTTPS untuk Mengakses Objek Anda

Kolom laporan

Status
ID Distribusi
Nama Domain Distribusi
Nama Sertifikat
Alasan

Deskripsi

Memeriksa server asal Anda untuk sertifikat SSL yang kedaluwarsa, akan kedaluwarsa, hilang, atau yang menggunakan enkripsi usang. Jika sertifikat memiliki salah satu masalah ini, CloudFront menanggapi permintaan untuk konten Anda dengan kode status HTTP 502, Bad Gateway.

Sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-1 tidak digunakan lagi oleh browser web seperti Chrome dan Firefox. Bergantung pada jumlah sertifikat SSL yang telah Anda kaitkan dengan CloudFront distribusi Anda, pemeriksaan ini mungkin menambahkan beberapa sen per bulan ke tagihan Anda dengan penyedia hosting web Anda, misalnya, AWS jika Anda menggunakan Amazon EC2 atau Elastic Load Balancing sebagai asal distribusi Anda. CloudFront Pemeriksaan ini tidak memvalidasi rantai sertifikat asal atau otoritas sertifikat Anda. Anda dapat memeriksanya di CloudFront konfigurasi Anda.

ID pemeriksaan

N430c450f2

Kriteria Peringatan

Merah: Sertifikat SSL pada asal Anda telah kedaluwarsa atau tidak ada.
Kuning: Sertifikat SSL tentang asal Anda kedaluwarsa dalam tiga puluh hari ke depan.
Kuning: Sertifikat SSL pada asal Anda dienkripsi dengan menggunakan algoritma hashing SHA-1.
Kuning: Sertifikat SSL pada asal Anda tidak dapat ditemukan. Koneksi mungkin gagal karena batas waktu, atau masalah koneksi HTTPS lainnya.

Tindakan yang Direkomendasikan

Perpanjang sertifikat asal Anda jika telah kedaluwarsa atau akan kedaluwarsa.

Tambahkan sertifikat jika tidak ada.

Ganti sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-1 dengan sertifikat yang dienkripsi dengan menggunakan algoritma hashing SHA-256.

Sumber Daya Tambahan

Menggunakan Nama Domain Alternatif dan HTTPS

Kolom laporan

Status
ID Distribusi
Nama Domain Distribusi
Asal
Alasan

Deskripsi

Memeriksa penyeimbang beban dengan pendengar yang tidak menggunakan konfigurasi keamanan yang disarankan untuk komunikasi terenkripsi. AWS merekomendasikan penggunaan protokol aman (HTTPS atau SSL), kebijakan up-to-date keamanan, serta sandi dan protokol yang aman.

Saat Anda menggunakan protokol aman untuk koneksi front-end (client to load balancer), permintaan dienkripsi antara klien Anda dan penyeimbang beban, yang menciptakan lingkungan yang lebih aman. Elastic Load Balancing menyediakan kebijakan keamanan yang telah ditentukan sebelumnya dengan sandi dan protokol yang mematuhi praktik terbaik keamanan. AWS Versi baru dari kebijakan yang telah ditetapkan dirilis saat konfigurasi baru tersedia.

ID pemeriksaan

a2sEc6ILx

Kriteria Peringatan

Kuning: Load balancer tidak memiliki pendengar yang menggunakan protokol aman (HTTPS atau SSL).
Kuning: Pendengar penyeimbang beban menggunakan kebijakan keamanan SSL yang telah ditentukan sebelumnya.
Kuning: Pendengar penyeimbang beban menggunakan sandi atau protokol yang tidak direkomendasikan.
Merah: Pendengar penyeimbang beban menggunakan sandi atau protokol yang tidak aman.

Tindakan yang Direkomendasikan

Jika lalu lintas ke penyeimbang beban Anda harus aman, gunakan protokol HTTPS atau SSL untuk koneksi front-end.

Tingkatkan penyeimbang beban Anda ke versi terbaru dari kebijakan keamanan SSL yang telah ditentukan sebelumnya.

Gunakan hanya cipher dan protokol yang direkomendasikan.

Untuk informasi selengkapnya, lihat Konfigurasi Pendengar untuk Elastic Load Balancing.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Load Balancer
Port Load Balancer
Alasan

Deskripsi

Memeriksa penyeimbang beban yang dikonfigurasi dengan grup keamanan yang hilang, atau grup keamanan yang memungkinkan akses ke port yang tidak dikonfigurasi untuk penyeimbang beban.

Jika grup keamanan yang terkait dengan penyeimbang beban dihapus, penyeimbang beban tidak akan berfungsi seperti yang diharapkan. Jika grup keamanan memungkinkan akses ke port yang tidak dikonfigurasi untuk penyeimbang beban, risiko kehilangan data atau serangan berbahaya meningkat.

ID pemeriksaan

xSqX82fQu

Kriteria Peringatan

Kuning: Aturan masuk grup keamanan VPC Amazon yang terkait dengan penyeimbang beban memungkinkan akses ke port yang tidak ditentukan dalam konfigurasi pendengar penyeimbang beban.
Merah: Grup keamanan yang terkait dengan penyeimbang beban tidak ada.

Tindakan yang Direkomendasikan

Konfigurasikan aturan grup keamanan untuk membatasi akses hanya ke port dan protokol yang ditentukan dalam konfigurasi pendengar penyeimbang beban, ditambah protokol ICMP untuk mendukung Path MTU Discovery. Lihat Pendengar untuk Classic Load Balancer dan Grup Keamanan Anda untuk Load Balancer di VPC.

Jika grup keamanan hilang, terapkan grup keamanan baru ke penyeimbang beban. Buat aturan grup keamanan yang membatasi akses hanya ke port dan protokol yang ditentukan dalam konfigurasi pendengar penyeimbang beban. Lihat Grup Keamanan untuk Load Balancer di VPC.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Load Balancer
ID Grup Keamanan
Alasan

Deskripsi

Memeriksa repositori kode populer untuk kunci akses yang telah diekspos ke publik dan untuk penggunaan Amazon Elastic Compute Cloud (Amazon EC2) yang tidak teratur yang mungkin merupakan hasil dari kunci akses yang disusupi.

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia yang sesuai. Kunci akses yang terbuka menimbulkan risiko keamanan bagi akun Anda dan pengguna lain, dapat menyebabkan biaya berlebihan dari aktivitas atau penyalahgunaan yang tidak sah, dan melanggar Perjanjian AWS Pelanggan.

Jika kunci akses Anda terbuka, segera ambil tindakan untuk mengamankan akun Anda. Untuk melindungi akun Anda dari biaya yang berlebihan, batasi AWS sementara kemampuan Anda untuk membuat beberapa AWS sumber daya. Ini tidak membuat akun Anda aman. Ini hanya membatasi sebagian penggunaan tidak sah yang dapat dikenakan biaya.

catatan

Pemeriksaan ini tidak menjamin identifikasi kunci akses yang terbuka atau instans EC2 yang disusupi. Anda pada akhirnya bertanggung jawab atas keselamatan dan keamanan kunci akses dan AWS sumber daya Anda.

Hasil untuk pemeriksaan ini disegarkan secara otomatis, dan permintaan penyegaran tidak diizinkan. Saat ini, Anda tidak dapat mengecualikan sumber daya dari pemeriksaan ini.

Jika tenggat waktu ditampilkan untuk kunci akses, AWS dapat menangguhkan Anda Akun AWS jika penggunaan yang tidak sah tidak dihentikan pada tanggal tersebut. Jika Anda yakin ada peringatan yang salah, hubungi AWS Support.

Informasi yang ditampilkan Trusted Advisor mungkin tidak mencerminkan status terbaru akun Anda. Tidak ada kunci akses terbuka yang ditandai sebagai diselesaikan sampai semua kunci akses yang terbuka pada akun telah diselesaikan. Sinkronisasi data ini bisa memakan waktu hingga satu minggu.

ID pemeriksaan

12Fnkpl8Y5

Kriteria Peringatan

Merah: Berpotensi dikompromikan - AWS telah mengidentifikasi ID kunci akses dan kunci akses rahasia terkait yang telah terpapar di Internet dan mungkin telah disusupi (digunakan).
Red: Exposed — AWS telah mengidentifikasi ID kunci akses dan kunci akses rahasia terkait yang telah terpapar di Internet.
Merah: Diduga - Penggunaan Amazon EC2 yang tidak teratur menunjukkan bahwa kunci akses mungkin telah dikompromikan, tetapi belum diidentifikasi sebagai terpapar di Internet.

Tindakan yang Direkomendasikan

Hapus kunci akses yang terpengaruh sesegera mungkin. Jika kunci dikaitkan dengan pengguna IAM, lihat Mengelola Kunci Akses untuk Pengguna IAM.

Periksa akun Anda untuk penggunaan yang tidak sah. Masuk ke AWS Management Consoledan periksa setiap konsol layanan untuk sumber daya yang mencurigakan. Berikan perhatian khusus untuk menjalankan instans Amazon EC2, permintaan Instans Spot, kunci akses, dan pengguna IAM. Anda juga dapat memeriksa penggunaan keseluruhan pada konsol Billing and Cost Management.

Sumber Daya Tambahan

Kolom laporan

Access key ID
Nama Pengguna (IAM atau Root)
Jenis Penipuan
ID Kasus
Waktu Diperbarui
Lokasi
Batas waktu
Penggunaan (USD per Hari)

Deskripsi

Memeriksa kunci akses IAM aktif yang belum diputar dalam 90 hari terakhir.

Ketika Anda memutar kunci akses Anda secara teratur, Anda mengurangi kemungkinan bahwa kunci yang dikompromikan dapat digunakan tanpa sepengetahuan Anda untuk mengakses sumber daya. Untuk keperluan pemeriksaan ini, tanggal dan waktu rotasi terakhir adalah ketika kunci akses dibuat atau yang terbaru diaktifkan. Nomor kunci akses dan tanggal berasal dari access_key_1_last_rotated dan access_key_2_last_rotated informasi dalam laporan kredensi IAM terbaru.

Karena frekuensi regenerasi laporan kredensyal dibatasi, penyegaran pemeriksaan ini mungkin tidak mencerminkan perubahan terbaru. Untuk informasi selengkapnya, lihat Mendapatkan Laporan Kredensi untuk Anda Akun AWS.

Untuk membuat dan memutar kunci akses, pengguna harus memiliki izin yang sesuai. Untuk informasi selengkapnya, lihat Mengizinkan Pengguna Mengelola Kata Sandi, Kunci Akses, dan Kunci SSH Mereka Sendiri.

ID pemeriksaan

DqdJqYeRm5

Kriteria Peringatan

Hijau: Kunci akses aktif dan telah diputar dalam 90 hari terakhir.
Kuning: Kunci akses aktif dan telah diputar dalam 2 tahun terakhir, tetapi lebih dari 90 hari yang lalu.
Merah: Kunci akses aktif dan belum diputar dalam 2 tahun terakhir.

Tindakan yang Direkomendasikan

Putar tombol akses secara teratur. Lihat Memutar Kunci Akses dan Mengelola Kunci Akses untuk Pengguna IAM.

Sumber Daya Tambahan

Kolom laporan

Status
Pengguna IAM
Access key
Kunci Terakhir Diputar
Alasan

Deskripsi

Memeriksa kebijakan kata sandi untuk akun Anda dan memperingatkan saat kebijakan kata sandi tidak diaktifkan, atau jika persyaratan konten kata sandi belum diaktifkan.

Persyaratan konten kata sandi meningkatkan keamanan AWS lingkungan Anda secara keseluruhan dengan menegakkan pembuatan kata sandi pengguna yang kuat. Saat Anda membuat atau mengubah kebijakan kata sandi, perubahan diberlakukan segera untuk pengguna baru tetapi tidak mengharuskan pengguna yang ada untuk mengubah kata sandi mereka.

ID pemeriksaan

Yw2K9puPzl

Kriteria Peringatan

Kuning: Kebijakan kata sandi diaktifkan, tetapi setidaknya satu persyaratan konten tidak diaktifkan.
Merah: Tidak ada kebijakan kata sandi yang diaktifkan.

Tindakan yang Direkomendasikan

Jika beberapa persyaratan konten tidak diaktifkan, pertimbangkan untuk mengaktifkannya. Jika tidak ada kebijakan kata sandi yang diaktifkan, buat dan konfigurasikan satu. Lihat Menyetel Kebijakan Kata Sandi Akun untuk Pengguna IAM.

Sumber Daya Tambahan

Mengelola Kata Sandi

Kolom laporan

Kebijakan Kata Sandi
Huruf besar
Huruf kecil
Jumlah
Bukan alfanumerik

Deskripsi

Memeriksa akun root dan memperingatkan jika otentikasi multi-faktor (MFA) tidak diaktifkan.

Untuk meningkatkan keamanan, kami menyarankan Anda melindungi akun Anda dengan menggunakan MFA, yang mengharuskan pengguna untuk memasukkan kode otentikasi unik dari perangkat keras MFA atau perangkat virtual mereka saat berinteraksi dengan dan situs web terkait. AWS Management Console

ID pemeriksaan

7DAFEmoDos

Kriteria Peringatan

Merah: MFA tidak diaktifkan pada akun root.

Tindakan yang Direkomendasikan

Masuk ke akun root Anda dan aktifkan perangkat MFA. Lihat Memeriksa Status MFA dan Menyiapkan Perangkat MFA.

Sumber Daya Tambahan

Menggunakan Perangkat Multi-Factor Authentication (MFA) dengan AWS

Deskripsi

Memeriksa grup keamanan untuk aturan yang memungkinkan akses tidak terbatas (0.0.0.0/0) ke port tertentu.

Akses tidak terbatas meningkatkan peluang untuk aktivitas berbahaya (peretasan, denial-of-service serangan, kehilangan data). Port dengan risiko tertinggi ditandai merah, dan port dengan risiko lebih kecil ditandai kuning. Port yang ditandai hijau biasanya digunakan oleh aplikasi yang memerlukan akses tidak terbatas, seperti HTTP dan SMTP.

Jika Anda sengaja mengonfigurasi grup keamanan Anda dengan cara ini, sebaiknya gunakan langkah-langkah keamanan tambahan untuk mengamankan infrastruktur Anda (seperti tabel IP).

catatan

Pemeriksaan ini hanya mengevaluasi grup keamanan yang Anda buat dan aturan masuknya untuk alamat IPv4. Grup keamanan AWS Directory Service yang dibuat oleh ditandai sebagai merah atau kuning, tetapi mereka tidak menimbulkan risiko keamanan dan dapat diabaikan atau dikecualikan dengan aman. Untuk informasi lebih lanjut, lihat Trusted Advisor FAQ.

catatan

Pemeriksaan ini tidak menyertakan kasus penggunaan ketika daftar awalan terkelola pelanggan memberikan akses ke 0.0.0.0/0 dan digunakan sebagai sumber dengan grup keamanan.

ID pemeriksaan

HCP4007jGY

Kriteria Peringatan

Hijau: Akses ke port 80, 25, 443, atau 465 tidak dibatasi.
Merah: Akses ke port 20, 21, 1433, 1434, 3306, 3389, 4333, 5432, atau 5500 tidak dibatasi.
Kuning: Akses ke port lain tidak dibatasi.

Tindakan yang Direkomendasikan

Batasi akses hanya ke alamat IP yang membutuhkannya. Untuk membatasi akses ke alamat IP tertentu, atur akhiran ke /32 (misalnya, 192.0.2.10/32). Pastikan untuk menghapus aturan yang terlalu permisif setelah membuat aturan yang lebih ketat.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Grup Keamanan
ID Grup Keamanan
Protokol
Dari Port
Ke Pelabuhan

Deskripsi

Memeriksa grup keamanan untuk aturan yang memungkinkan akses tidak terbatas ke sumber daya.

Akses tidak terbatas meningkatkan peluang untuk aktivitas berbahaya (peretasan, denial-of-service serangan, kehilangan data).

catatan

Pemeriksaan ini hanya mengevaluasi grup keamanan yang Anda buat dan aturan masuknya untuk alamat IPv4. Grup keamanan AWS Directory Service yang dibuat oleh ditandai sebagai merah atau kuning, tetapi mereka tidak menimbulkan risiko keamanan dan dapat diabaikan atau dikecualikan dengan aman. Untuk informasi lebih lanjut, lihat Trusted Advisor FAQ.

catatan

Pemeriksaan ini tidak menyertakan kasus penggunaan ketika daftar awalan terkelola pelanggan memberikan akses ke 0.0.0.0/0 dan digunakan sebagai sumber dengan grup keamanan.

ID pemeriksaan

1iG5NDGVre

Kriteria Peringatan

Merah: Aturan grup keamanan memiliki alamat IP sumber dengan akhiran /0 untuk port selain 25, 80, atau 443.

Tindakan yang Direkomendasikan

Batasi akses hanya ke alamat IP yang membutuhkannya. Untuk membatasi akses ke alamat IP tertentu, atur akhiran ke /32 (misalnya, 192.0.2.10/32). Pastikan untuk menghapus aturan yang terlalu permisif setelah membuat aturan yang lebih ketat.

Sumber Daya Tambahan

Kolom laporan

Status
Wilayah
Nama Grup Keamanan
ID Grup Keamanan
Protokol
Dari Port
Ke Pelabuhan
Rentang IP

catatan

Periksa nama

Periode Retensi Grup CloudWatch Log Amazon

catatan

Instans Amazon EC2 dengan dukungan akhir Microsoft SQL Server

catatan

Instans Amazon EC2 dengan dukungan akhir Microsoft Windows Server

catatan

Instans Amazon EC2 dengan dukungan standar Ubuntu LTS akhir

catatan

Klien Amazon EFS tidak menggunakan data-in-transit enkripsi

catatan

Cuplikan Publik Amazon EBS

catatan

Enkripsi penyimpanan Amazon RDS Aurora dimatikan

catatan

catatan

Diperlukan peningkatan versi minor mesin Amazon RDS

catatan

catatan

Cuplikan Publik Amazon RDS

catatan

Risiko Akses Grup Keamanan Amazon RDS

Enkripsi penyimpanan Amazon RDS dimatikan

catatan

catatan

Buat salinan terenkripsi dari instans DB asli

Amazon Route 53 tidak cocok dengan catatan CNAME yang menunjuk langsung ke bucket S3

Amazon Route 53 Kumpulan Rekaman Sumber Daya MX dan Kerangka Kebijakan Pengirim

Izin Bucket Amazon S3

Log Akses Amazon S3Server Diaktifkan

Koneksi Peering VPC Amazon dengan Resolusi DNS Dinonaktifkan

catatan

AWS Backup Vault Tanpa Kebijakan Berbasis Sumber Daya untuk Mencegah Penghapusan Poin Pemulihan

catatan

AWS CloudTrail Penebangan

AWS Lambda Fungsi Menggunakan Runtime yang Tidak Digunakan Lagi

catatan

AWS Well-Architectedmasalah risiko tinggi untuk keamanan

catatan

CloudFrontSertifikat SSL Kustom di Toko Sertifikat IAM

CloudFront Sertifikat SSL di Server Asal

ELB Listener Keamanan

Grup Keamanan ELB

Exposed Access Keys

catatan

Rotasi Kunci Akses IAM

Kebijakan Kata Sandi IAM

MFA pada Akun Root

Grup Keamanan — Port Tertentu Tidak Dibatasi

catatan

catatan

Grup Keamanan — Akses Tidak Terbatas

catatan

catatan