Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Referensi kontrol Security Hub
Referensi kontrol ini menyediakan daftar AWS Security Hub kontrol yang tersedia dengan tautan ke informasi lebih lanjut tentang setiap kontrol. Tabel ikhtisar menampilkan kontrol dalam urutan abjad dengan ID kontrol. Hanya kontrol yang digunakan aktif oleh Security Hub yang disertakan di sini. Kontrol pensiun dikecualikan dari daftar ini. Tabel memberikan informasi berikut untuk setiap kontrol:
-
ID kontrol keamanan — ID ini berlaku di seluruh standar dan menunjukkan Layanan AWS dan sumber daya yang terkait dengan kontrol. Konsol Security Hub menampilkan ID kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan Security Hub mereferensikan ID kontrol keamanan hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa ID kontrol bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan ID kontrol khusus standar ke ID kontrol keamanan, lihat. Bagaimana konsolidasi memengaruhi ID dan judul kontrol
Jika Anda ingin mengatur otomatisasi untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sementara Security Hub kadang-kadang dapat memperbarui judul atau deskripsi kontrol, ID kontrol tetap sama.
ID kontrol dapat melewati angka. Ini adalah placeholder untuk kontrol masa depan.
-
Standar yang berlaku - Menunjukkan standar mana yang berlaku untuk kontrol. Pilih kontrol untuk melihat persyaratan spesifik dari kerangka kerja kepatuhan pihak ketiga.
-
Judul kontrol keamanan - Judul ini berlaku di seluruh standar. Konsol Security Hub menampilkan judul kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan Security Hub merujuk judul kontrol keamanan hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa judul kontrol bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan ID kontrol khusus standar ke ID kontrol keamanan, lihat. Bagaimana konsolidasi memengaruhi ID dan judul kontrol
-
Keparahan — Tingkat keparahan kontrol mengidentifikasi pentingnya dari sudut pandang keamanan. Untuk informasi tentang cara Security Hub menentukan tingkat keparahan kontrol, lihatMenetapkan tingkat keparahan untuk mengontrol temuan.
-
Jenis jadwal - Menunjukkan kapan kontrol dievaluasi. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.
-
Mendukung parameter kustom - Menunjukkan apakah kontrol mendukung nilai kustom untuk satu atau beberapa parameter. Pilih kontrol untuk melihat detail parameter. Untuk informasi selengkapnya, lihat Parameter kontrol khusus.
Pilih kontrol untuk melihat detail lebih lanjut. Kontrol tercantum dalam urutan abjad dari nama layanan.
ID kontrol keamanan | Judul kontrol keamanan | Standar yang berlaku | Kepelikan | Mendukung parameter kustom | Jenis jadwal |
---|---|---|---|---|---|
Akun.1 | Informasi kontak keamanan harus disediakan untuk Akun AWS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
Akun.2 | Akun AWS harus menjadi bagian dari sebuah AWS Organizations organisasi | NIST SP 800-53 Wahyu 5 | TINGGI | |
Berkala |
ACM.1 | Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu dan periodik |
ACM.2 | Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | TINGGI | |
Perubahan dipicu |
ACM.3 | Sertifikat ACM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
ApiGateway.1 | API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ApiGateway.2 | Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ApiGateway.3 | Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
ApiGateway.4 | API Gateway harus dikaitkan dengan WAF Web ACL | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ApiGateway.5 | Data cache API Gateway REST API harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ApiGateway.8 | Rute API Gateway harus menentukan jenis otorisasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ApiGateway.9 | Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
AppSync.2 | AWS AppSync harus mengaktifkan logging tingkat lapangan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | |
Perubahan dipicu |
AppSync.4 | AWS AppSync GraphQL API harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
AppSync.5 | AWS AppSync GraphQL API tidak boleh diautentikasi dengan kunci API | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
Athena.2 | Katalog data Athena harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Athena.3 | Kelompok kerja Athena harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
AutoScaling.1 | Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
AutoScaling.2 | Grup Auto Scaling Amazon EC2 harus mencakup beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
AutoScaling.3 | Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi instans EC2 agar memerlukan Layanan Metadata Instans Versi 2 (IMDSv2) | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
Penskalaan otomatis.5 | Instans Amazon EC2 yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
AutoScaling.6 | Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
AutoScaling.9 | Grup EC2 Auto Scaling harus menggunakan templat peluncuran EC2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
AutoScaling.10 | Grup EC2 Auto Scaling harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Backup.1 | AWS Backup titik pemulihan harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Backup.2 | AWS Backup poin pemulihan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Cadangan.3 | AWS Backup brankas harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Cadangan.4 | AWS Backup rencana laporan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Cadangan.5 | AWS Backup rencana cadangan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
CloudFormation.2 | CloudFormation tumpukan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
CloudFront.1 | CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | Perubahan dipicu | |
CloudFront.3 | CloudFront distribusi harus memerlukan enkripsi dalam perjalanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.4 | CloudFront distribusi harus memiliki failover asal yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
CloudFront.5 | CloudFront distribusi harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.6 | CloudFront distribusi harus mengaktifkan WAF | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.7 | CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.8 | CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
CloudFront.9 | CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.10 | CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
CloudFront.12 | CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
CloudFront.13 | CloudFront distribusi harus menggunakan kontrol akses asal | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | |
Perubahan dipicu |
CloudFront.14 | CloudFront Distribusi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
CloudTrail.1 | CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower | TINGGI | |
Berkala |
CloudTrail.2 | CloudTrail harus mengaktifkan enkripsi saat istirahat | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIUM | |
Berkala |
CloudTrail.3 | Setidaknya satu CloudTrail jejak harus diaktifkan | PCI DSS v3.2.1 | TINGGI | Berkala | |
CloudTrail.4 | CloudTrail validasi file log harus diaktifkan | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | RENDAH | |
Berkala |
CloudTrail.5 | CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | RENDAH | |
Berkala |
CloudTrail.6 | Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | KRITIS | |
Perubahan dipicu dan periodik |
CloudTrail.7 | Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3 | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudTrail.9 | CloudTrail jalan setapak harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
CloudWatch.1 | Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root” | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS v1.4.0 AWS | RENDAH | |
Berkala |
CloudWatch.2 | Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah | Tolok Ukur AWS Yayasan CIS v1.2.0 | RENDAH | |
Berkala |
CloudWatch.3 | Pastikan ada filter metrik log dan alarm untuk login Management Console tanpa MFA | Tolok Ukur AWS Yayasan CIS v1.2.0 | RENDAH | |
Berkala |
CloudWatch.4 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.5 | Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.6 | Pastikan filter metrik log dan alarm ada untuk kegagalan AWS Management Console otentikasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.7 | Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan CMK yang dibuat pelanggan | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.8 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3 | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.9 | Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.10 | Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.11 | Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL) | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.12 | Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.13 | Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.14 | Pastikan filter metrik log dan alarm ada untuk perubahan VPC | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
CloudWatch.15 | CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi | NIST SP 800-53 Wahyu 5 | TINGGI | |
Perubahan dipicu |
CloudWatch.16 | CloudWatch grup log harus dipertahankan untuk jangka waktu tertentu | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
CloudWatch.17 | CloudWatch tindakan alarm harus diaktifkan | NIST SP 800-53 Wahyu 5 | TINGGI | |
Perubahan dipicu |
CodeArtifact.1 | CodeArtifact repositori harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
CodeBuild.1 | CodeBuild URL repositori sumber Bitbucket tidak boleh berisi kredensyal sensitif | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu | |
CodeBuild.2 | CodeBuild variabel lingkungan proyek tidak boleh berisi kredensyal teks yang jelas | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
CodeBuild.3 | CodeBuild Log S3 harus dienkripsi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
CodeBuild.4 | CodeBuild lingkungan proyek harus memiliki konfigurasi logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Konfigurasi.1 | AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | MEDIUM | Berkala | |
DataFirehose.1 | Aliran pengiriman Firehose harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
Detektif.1 | Grafik perilaku Detektif harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DMS.1 | Contoh replikasi Database Migration Service tidak boleh bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
DMS.2 | Sertifikat DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DMS.3 | Langganan acara DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DMS.4 | Instans replikasi DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DMS.5 | Grup subnet replikasi DMS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DMS.6 | Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DMS.7 | Tugas replikasi DMS untuk database target harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DMS.8 | Tugas replikasi DMS untuk database sumber harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DMS.9 | Titik akhir DMS harus menggunakan SSL | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DMS.10 | Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
DMS.11 | Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
DMS.12 | Titik akhir DMS untuk Redis harus mengaktifkan TLS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
DokumenDB.1 | Cluster Amazon DocumentDB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
DokumenDB.2 | Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
DokumenDB.3 | Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
DokumenDB.4 | Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DokumenDB.5 | Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DynamoDB.1 | Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
DynamoDB.2 | Tabel DynamoDB harus mengaktifkan pemulihan point-in-time | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DynamoDB.3 | Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
DynamoDB.4 | Tabel DynamoDB harus ada dalam rencana cadangan | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
DynamoDb.5 | Tabel DynamoDB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
DynamoDb.6 | Tabel DynamoDB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
DynamoDb.7 | Cluster DynamoDB Accelerator harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
EC2.1 | Snapshot EBS tidak boleh dipulihkan secara publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
EC2.2 | Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | TINGGI | |
Perubahan dipicu |
EC2.3 | Volume EBS yang terpasang harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EC2.4 | Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
EC2.6 | Pencatatan aliran VPC harus diaktifkan di semua VPC | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIUM | |
Berkala |
EC2.7 | Enkripsi default EBS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, Tolok Ukur AWS Yayasan CIS v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
EC2.8 | Instans EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2) | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.9 | Instans EC2 seharusnya tidak memiliki alamat IPv4 publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.10 | Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
EC2.12 | EIP EC2 yang tidak digunakan harus dihapus | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
EC2.13 | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.14 | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | Tolok Ukur AWS Yayasan CIS v1.2.0 | TINGGI | |
Perubahan dipicu |
EC2.15 | Subnet EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EC2.16 | Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
EC2.17 | Instans EC2 tidak boleh menggunakan beberapa ENI | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
EC2.18 | Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.19 | Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
EC2.20 | Kedua terowongan VPN untuk koneksi VPN AWS Site-to-Site harus aktif | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EC2.21 | ACL jaringan seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, Tolok Ukur AWS Yayasan CIS v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EC2.22 | Grup keamanan EC2 yang tidak digunakan harus dihapus | Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Berkala | |
EC2.23 | EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.24 | Jenis instance paravirtual EC2 tidak boleh digunakan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EC2.25 | Template peluncuran EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EC2.28 | Volume EBS harus dalam rencana cadangan | NIST SP 800-53 Wahyu 5 | RENDAH | |
Berkala |
EC2.33 | Lampiran gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.34 | Tabel rute gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.35 | Antarmuka jaringan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.36 | Gateway pelanggan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.37 | Alamat IP Elastis EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.38 | Instans EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.39 | Gerbang internet EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.40 | Gerbang EC2 NAT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.41 | ACL jaringan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.42 | Tabel rute EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.43 | Grup keamanan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.44 | Subnet EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.45 | Volume EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.46 | Amazon VPC harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.47 | Layanan endpoint Amazon VPC harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.48 | Log aliran VPC Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.49 | Koneksi peering VPC Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.50 | Gateway EC2 VPN harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.51 | Titik akhir EC2 Client VPN harus mengaktifkan logging koneksi klien | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
EC2.52 | Gerbang transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EC2.53 | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v3.0.0 | TINGGI | Berkala | |
EC2.54 | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v3.0.0 | TINGGI | Berkala | |
ECR.1 | Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
ECR.2 | Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ECR.3 | Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ECR.4 | Repositori publik ECR harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
ECS.1 | Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna. | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.2 | Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.3 | Definisi tugas ECS tidak boleh berbagi namespace proses host | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.4 | Kontainer ECS harus berjalan sebagai non-hak istimewa | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.5 | Kontainer ECS harus dibatasi pada akses hanya-baca ke sistem file root | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.8 | Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.9 | Definisi tugas ECS harus memiliki konfigurasi logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ECS.10 | Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ECS.12 | Cluster ECS harus menggunakan Wawasan Kontainer | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ECS.13 | Layanan ECS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
ECS.14 | Cluster ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
ECS.15 | Definisi tugas ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EFS.1 | Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
EFS.2 | Volume Amazon EFS harus ada dalam paket cadangan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
EFS.3 | Titik akses EFS harus menerapkan direktori root | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EFS.4 | Titik akses EFS harus menegakkan identitas pengguna | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
EFS.5 | Titik akses EFS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
EFS.6 | Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | Berkala | |
EKS.1 | Titik akhir kluster EKS tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
EKS.2 | Kluster EKS harus berjalan pada versi Kubernetes yang didukung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
EKS.3 | Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
EKS.6 | Kluster EKS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EKS.7 | Konfigurasi penyedia identitas EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EKS.8 | Kluster EKS harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ElastiCache.1 | ElastiCache Cluster Redis harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
ElastiCache.2 | ElastiCache untuk kluster cache Redis harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
ElastiCache.3 | ElastiCache grup replikasi harus mengaktifkan failover otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ElastiCache.4 | ElastiCache grup replikasi seharusnya diaktifkan encryption-at-rest | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ElastiCache.5 | ElastiCache grup replikasi seharusnya diaktifkan encryption-in-transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ElastiCache.6 | ElastiCache grup replikasi versi Redis sebelumnya harus mengaktifkan Redis AUTH | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ElastiCache.7 | ElastiCache cluster tidak boleh menggunakan grup subnet default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
ElasticBeanstalk.1 | Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
ElasticBeanstalk.2 | Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
ElasticBeanstalk.3 | Elastic Beanstalk harus mengalirkan log ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | TINGGI | |
Perubahan dipicu |
ELB.1 | Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ELB.2 | Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.3 | Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.4 | Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.5 | Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.6 | Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
ELB.7 | Classic Load Balancers harus mengaktifkan pengurasan koneksi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.8 | Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.9 | Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.10 | Classic Load Balancer harus menjangkau beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.12 | Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.13 | Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus menjangkau beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.14 | Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ELB.16 | Application Load Balancers harus dikaitkan dengan ACL web AWS WAF | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
EMR.1 | Node primer klaster EMR Amazon seharusnya tidak memiliki alamat IP publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
EMR.2 | Amazon EMR memblokir pengaturan akses publik harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
ES.1 | Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
ES.2 | Domain Elasticsearch tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
ES.3 | Domain Elasticsearch harus mengenkripsi data yang dikirim antar node | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ES.4 | Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ES.5 | Domain Elasticsearch harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ES.6 | Domain Elasticsearch harus memiliki setidaknya tiga node data | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ES.7 | Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
ES.8 | Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
ES.9 | Domain Elasticsearch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EventBridge.2 | EventBridge bus acara harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
EventBridge.3 | EventBridge bus acara khusus harus memiliki kebijakan berbasis sumber daya terlampir | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
EventBridge.4 | EventBridge titik akhir global harus mengaktifkan replikasi acara | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
FSX.1 | FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke backup dan volume | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
FSX.2 | Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
Lem. 1 | AWS Glue pekerjaan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
GlobalAccelerator.1 | Akselerator Global Accelerator harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
GuardDuty.1 | GuardDuty harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
GuardDuty.2 | GuardDuty filter harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
GuardDuty.3 | GuardDuty IPset harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
GuardDuty.4 | GuardDuty detektor harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IAM.1 | Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | TINGGI | |
Perubahan dipicu |
IAM.2 | Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | RENDAH | |
Perubahan dipicu |
IAM.3 | Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, Tolok Ukur Yayasan CIS AWS v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIUM | |
Berkala |
IAM.4 | Kunci akses pengguna root IAM seharusnya tidak ada | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | KRITIS | |
Berkala |
IAM.5 | MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, Tolok Ukur Yayasan CIS AWS v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIUM | |
Berkala |
IAM.6 | MFA perangkat keras harus diaktifkan untuk pengguna root | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | KRITIS | |
Berkala |
IAM.7 | Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
IAM.8 | Kredensyal pengguna IAM yang tidak digunakan harus dihapus | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIUM | |
Berkala |
IAM.9 | MFA harus diaktifkan untuk pengguna root | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
IAM.10 | Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat | PCI DSS v3.2.1 | MEDIUM | |
Berkala |
IAM.11 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf besar | Tolok Ukur AWS Yayasan CIS v1.2.0 | MEDIUM | |
Berkala |
IAM.12 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf kecil | Tolok Ukur AWS Yayasan CIS v1.2.0 | MEDIUM | |
Berkala |
IAM.13 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu simbol | Tolok Ukur AWS Yayasan CIS v1.2.0 | MEDIUM | |
Berkala |
IAM.14 | Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor | Tolok Ukur AWS Yayasan CIS v1.2.0 | MEDIUM | |
Berkala |
IAM.15 | Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | MEDIUM | |
Berkala |
IAM.16 | Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
IAM.17 | Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang | Tolok Ukur AWS Yayasan CIS v1.2.0 | RENDAH | |
Berkala |
IAM.18 | Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
IAM.19 | MFA harus diaktifkan untuk semua pengguna IAM | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
IAM.21 | Kebijakan terkelola pelanggan IAM yang Anda buat tidak boleh mengizinkan tindakan wildcard untuk layanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
IAM.22 | Kredensyal pengguna IAM yang tidak digunakan selama 45 hari harus dihapus | Tolok Ukur AWS Yayasan CIS v1.4.0 | MEDIUM | |
Berkala |
IAM.23 | Alat analisis IAM Access Analyzer harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
IAM.24 | Peran IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
IAM.25 | Pengguna IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
IAM.26 | Sertifikat SSL/TLS yang kedaluwarsa yang dikelola di IAM harus dihapus | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Berkala | |
IAM.27 | Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Perubahan dipicu | |
IAM.28 | IAM Access Analyzer penganalisis akses eksternal harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0 | TINGGI | Berkala | |
IoT.1 | AWS IoT Core profil keamanan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IoT.2 | AWS IoT Core tindakan mitigasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IoT.3 | AWS IoT Core dimensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IoT.4 | AWS IoT Core pemberi otorisasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IoT.5 | AWS IoT Core alias peran harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
IoT.6 | AWS IoT Core kebijakan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Kinesis.1 | Aliran Kinesis harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Kinesis.2 | Aliran Kinesis harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
KMS.1 | Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
KMS.2 | Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
KMS.3 | AWS KMS keys tidak boleh dihapus secara tidak sengaja | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
KMS.4 | AWS KMS key rotasi harus diaktifkan | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
Lambda.1 | Kebijakan fungsi Lambda harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
Lambda.2 | Fungsi Lambda harus menggunakan runtime yang didukung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Lambda.3 | Fungsi Lambda harus dalam VPC | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
Lambda.5 | Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Lambda.6 | Fungsi Lambda harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Macie.1 | Amazon Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
Macie.2 | Penemuan data sensitif otomatis Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | Berkala | |
MSK.1 | Cluster MSK harus dienkripsi dalam perjalanan di antara node broker | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
MSK.2 | Cluster MSK harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi | NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
MQ.2 | Broker ActiveMQ harus mengalirkan log audit ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
MQ.3 | Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
MQ.4 | Broker Amazon MQ harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
MQ.5 | Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga | NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
MQ.6 | Broker RabbitMQ harus menggunakan mode penerapan cluster | NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
Neptunus.1 | Cluster DB Neptunus harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
Neptunus.2 | Cluster DB Neptunus harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
Neptunus.3 | Cuplikan cluster Neptunus DB seharusnya tidak bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Perubahan dipicu |
Neptunus.4 | Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
Neptunus.5 | Cluster DB Neptunus harus mengaktifkan cadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
Neptunus.6 | Snapshot cluster Neptunus DB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
Neptunus.7 | Cluster DB Neptunus harus mengaktifkan otentikasi database IAM | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
Neptunus.8 | Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
Neptunus.9 | Cluster DB Neptunus harus digunakan di beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.1 | Firewall Network Firewall harus digunakan di beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.2 | Pencatatan Network Firewall harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
NetworkFirewall.3 | Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.4 | Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket lengkap | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.5 | Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket yang terfragmentasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.6 | Grup aturan firewall jaringan stateless tidak boleh kosong | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
NetworkFirewall.7 | Firewall Network Firewall harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
NetworkFirewall.8 | Kebijakan firewall Network Firewall harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
NetworkFirewall.9 | Firewall Network Firewall harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.1 | OpenSearch domain harus mengaktifkan enkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.2 | OpenSearch Domain tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
Opensearch.3 | OpenSearch domain harus mengenkripsi data yang dikirim antar node | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.4 | OpenSearch kesalahan domain saat masuk ke CloudWatch Log harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.5 | OpenSearch domain harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.6 | OpenSearch domain harus memiliki setidaknya tiga node data | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Opensearch.7 | OpenSearch domain harus mengaktifkan kontrol akses berbutir halus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
Opensearch.8 | Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
Opensearch.9 | OpenSearch domain harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Opensearch.10 | OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
Opensearch.11 | OpenSearch domain harus memiliki setidaknya tiga node primer khusus | NIST SP 800-53 Wahyu 5 | MEDIUM | Berkala | |
PCA.1 | AWS Private CA otoritas sertifikat root harus dinonaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Berkala |
RDS.1 | Cuplikan RDS harus bersifat pribadi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
RDS.2 | Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
RDS.3 | Instans RDS DB harus mengaktifkan enkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, Tolok Ukur AWS Yayasan CIS v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.4 | Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.5 | Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.6 | Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.7 | Cluster RDS harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.8 | Instans RDS DB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.9 | Instans RDS DB harus menerbitkan log ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.10 | Autentikasi IAM harus dikonfigurasi untuk instance RDS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.11 | Instans RDS harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.12 | Autentikasi IAM harus dikonfigurasi untuk cluster RDS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.13 | Peningkatan versi minor otomatis RDS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
RDS.14 | Cluster Amazon Aurora seharusnya mengaktifkan backtracking | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.15 | Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.16 | Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.17 | Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.18 | Instans RDS harus digunakan dalam VPC | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
RDS.19 | Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster kritis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.20 | Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.21 | Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data kritis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.22 | Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.23 | Instans RDS tidak boleh menggunakan port default mesin database | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
RDS.24 | Cluster Database RDS harus menggunakan nama pengguna administrator khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.25 | Instans database RDS harus menggunakan nama pengguna administrator khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.26 | Instans RDS DB harus dilindungi oleh rencana cadangan | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
RDS.27 | Cluster RDS DB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
RDS.28 | Cluster RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.29 | Snapshot cluster RDS DB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.30 | Instans RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.31 | Grup keamanan RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.32 | Snapshot RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.33 | Grup subnet RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
RDS.34 | Cluster Aurora MySQL DB harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
RDS.35 | Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran merah.1 | Cluster Amazon Redshift harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
Pergeseran merah.2 | Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran merah.3 | Cluster Amazon Redshift harus mengaktifkan snapshot otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran merah.4 | Cluster Amazon Redshift harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.6 | Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.7 | Cluster Redshift harus menggunakan perutean VPC yang disempurnakan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.8 | Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.9 | Cluster Redshift tidak boleh menggunakan nama database default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.10 | Cluster Redshift harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Pergeseran Merah.11 | Cluster Redshift harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Pergeseran Merah.12 | Pemberitahuan berlangganan acara Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Pergeseran Merah.13 | Cuplikan klaster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Pergeseran Merah.14 | Grup subnet cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Pergeseran Merah.15 | Grup keamanan Redshift harus mengizinkan masuknya pada port cluster hanya dari asal yang dibatasi | AWS Praktik Terbaik Keamanan Dasar | TINGGI | Berkala | |
Route53.1 | Pemeriksaan kesehatan Route 53 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Route53.2 | Rute 53 zona yang dihosting publik harus mencatat kueri DNS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
S3.1 | Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
S3.2 | Bucket tujuan umum S3 harus memblokir akses baca publik | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu dan periodik | |
S3.3 | Bucket tujuan umum S3 harus memblokir akses tulis publik | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu dan periodik | |
S3.5 | Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
S3.6 | Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | Perubahan dipicu | |
S3.7 | Bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | Perubahan dipicu | |
S3.8 | Bucket tujuan umum S3 harus memblokir akses publik | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan:, Tolok Ukur AWS Yayasan CIS v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | Perubahan dipicu | |
S3.9 | Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
S3.10 | Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
S3.11 | Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
S3.12 | ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3 | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
S3.13 | Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup | AWS Praktik Terbaik Keamanan Dasar, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
S3.14 | Bucket tujuan umum S3 harus mengaktifkan versi | NIST SP 800-53 Wahyu 5 | RENDAH | Perubahan dipicu | |
S3.15 | Bucket tujuan umum S3 harus mengaktifkan Object Lock | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
S3.17 | Bucket tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys | Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
S3.19 | Titik akses S3 harus mengaktifkan pengaturan akses publik blok | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu | |
S3.20 | Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA | Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
S3.22 | Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Berkala | |
S3.23 | Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Berkala | |
SageMaker.1 | Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
SageMaker.2 | SageMaker instance notebook harus diluncurkan dalam VPC khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
SageMaker.3 | Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
SageMaker.4 | SageMaker varian produksi endpoint harus memiliki jumlah instance awal yang lebih besar dari 1 | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
SecretsManager.1 | Rahasia Secrets Manager harus mengaktifkan rotasi otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
SecretsManager.2 | Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
SecretsManager.3 | Hapus rahasia Secrets Manager yang tidak digunakan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
SecretsManager.4 | Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
SecretsManager.5 | Rahasia Secrets Manager harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
ServiceCatalog.1 | Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | TINGGI | Berkala | |
SES.1 | Daftar kontak SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
SES.2 | Set konfigurasi SES harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
SNS.1 | Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
SNS.3 | Topik SNS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
SQS.1 | Antrian Amazon SQS harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
SQ.2 | Antrian SQS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
SSM.1 | Instans EC2 harus dikelola oleh AWS Systems Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
SSM.2 | Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
SSM.3 | Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
SSM.4 | Dokumen SSM tidak boleh bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
StepFunctions.1 | Mesin status Step Functions harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | |
Perubahan dipicu |
StepFunctions.2 | Aktivitas Step Functions harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Transfer.1 | Alur kerja Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Ya | Perubahan dipicu |
Transfer.2 | Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi endpoint | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
WAF.1 | AWS WAF Pencatatan ACL Web Global Klasik harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
WAF.2 | AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.3 | AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.4 | AWS WAF ACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.6 | AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.7 | AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.8 | AWS WAF ACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.10 | AWS WAF ACL web harus memiliki setidaknya satu aturan atau kelompok aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
WAF.11 | AWS WAF pencatatan ACL web harus diaktifkan | NIST SP 800-53 Wahyu 5 | RENDAH | |
Berkala |
WAF.12 | AWS WAF aturan harus mengaktifkan CloudWatch metrik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
Topik
- Akun AWS kontrol
- AWS Certificate Manager kontrol
- Kontrol Amazon API Gateway
- AWS AppSync kontrol
- Kontrol Amazon Athena
- AWS Backup kontrol
- AWS CloudFormation kontrol
- CloudFront Kontrol Amazon
- AWS CloudTrail kontrol
- CloudWatch Kontrol Amazon
- AWS CodeArtifact kontrol
- AWS CodeBuild kontrol
- AWS Config kontrol
- Kontrol Firehose Data Amazon
- Kontrol Detektif Amazon
- AWS Database Migration Service kontrol
- Kontrol Amazon DocumentDB
- Kontrol Amazon DynamoDB
- Kontrol Registri Kontainer Elastis Amazon
- Kontrol Amazon ECS
- Kontrol Amazon Elastic Compute Cloud
- Kontrol Auto Scaling Amazon EC2
- Kontrol Manajer Sistem Amazon EC2
- Kontrol Amazon Elastic File System
- Kontrol Layanan Amazon Elastic Kubernetes
- ElastiCache Kontrol Amazon
- AWS Elastic Beanstalk kontrol
- Kontrol Elastic Load Balancing
- Kontrol EMR Amazon
- Kontrol Elasticsearch
- EventBridge Kontrol Amazon
- Kontrol Amazon FSx
- AWS Global Accelerator kontrol
- AWS Glue kontrol
- GuardDuty Kontrol Amazon
- AWS Identity and Access Management kontrol
- AWS IoT kontrol
- Kontrol Amazon Kinesis
- AWS Key Management Service kontrol
- AWS Lambda kontrol
- Kontrol Amazon Macie
- Kontrol MSK Amazon
- Kontrol Amazon MQ
- Kontrol Amazon Neptunus
- AWS Network Firewall kontrol
- Kontrol OpenSearch Layanan Amazon
- AWS Private Certificate Authority kontrol
- Kontrol Layanan Amazon Relational Database Service
- Kontrol Amazon Redshift
- Amazon Route 53 kontrol
- Kontrol Layanan Penyimpanan Sederhana Amazon
- SageMaker Kontrol Amazon
- AWS Secrets Manager kontrol
- AWS Service Catalog kontrol
- Kontrol Layanan Email Sederhana Amazon
- Kontrol Layanan Pemberitahuan Sederhana Amazon
- Kontrol Layanan Antrian Sederhana Amazon
- AWS Step Functions kontrol
- AWS Transfer Family kontrol
- AWS WAF kontrol