本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 ACSC ISM 的运营最佳实践
Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。
以下是澳大利亚网络安全中心 (ACSC) 信息安全手册 (ISM) 2020-06 与AWS托管Config 规则之间的示例映射。每条 Config 规则都适用于特定AWS资源,并与一个或多个 ISM 控件相关。一个 ISM 控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
此示例一致性包模板包含指向 ISM 框架内控件的映射,该框架由澳大利亚联邦创建,可在澳大利亚政府信息安全手册
AWS 区域:除了(美国东部AWS 区域)、(美国西部)、亚太地区(香港)、中东(巴林)和南美洲AWS GovCloud (巴林)、中东AWS GovCloud (巴林)和南美洲(圣保罗)、中东(巴林)、中东(巴林)、中东(巴林)、中东(巴林)、中东(巴林)、
| 控制 ID | AWSConfig 规则 | 指导 |
|---|---|---|
| 43 | response-plan-exists-maintained (过程检查) | 确保制定、维护事件响应计划并将其分发给负责人员。 |
| 252 | security-awareness-program-exists (过程检查) | 为您的组织建立和维护安全意识计划。安全意识计划教育员工如何保护其组织免受各种安全漏洞或事件的侵害。 |
| 261 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 261 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 261 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从AWS资源收到请求的时间、有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 298 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 298 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 298 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 298 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 380 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| 459 | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可以捕获 API 方法的敏感数据,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail跟踪启用加密。 | |
| 459 | 要帮助保护静态数据,请确保对于 Amazon Elastic Block Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| 459 | 由于敏感数据可能存在,并且为了帮助保护静态数据,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。 | |
| 459 | 为了帮助保护静态数据,请确保对您的Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 459 | 确保对您的Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 为了帮助保护静态数据,请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。 | |
| 459 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。 | |
| 459 | 为帮助保护静态数据,请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 为了帮助保护静态的敏感数据,请确保对AWS CodeBuild 工件启用加密。 | |
| 459 | 为帮助保护静态敏感数据,请确保对存储在 Amazon S3 中的AWS CodeBuild 日志启用加密。 | |
| 459 | 确保您的Amazon DynamoDB 表的加密处于启用状态。由于敏感数据可能静态存在于这些表中,因此启用静态加密以帮助保护这些数据。默认情况下,DynamoDB 表是使用自己的客户AWS主密钥 (CMK) 加密的。 | |
| 459 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Kinesis Streams 启用加密。 | |
| 459 | 确保对您的Amazon Relational(Amazon RDS)快照的快照启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 要帮助保护静态数据,请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| 459 | 为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。 | |
| 580 | audit-log-policy-exists (过程检查) | 制定和维护审核日志管理策略,定义贵组织的日志要求。这包括但不限于审查和保留审计日志。 |
| 634 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 859 | 确保为您的日志组保留最短持续时间的事件日志数据,以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。 | |
| 974 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 974 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1139 | 为了帮助保护传输中的数据,请确保您的 Classic Elastic Load Balancing SSL 侦听器使用预定义的安全策略。Elastic Load Balancing 将提供预定义的 SSL 协商配置,在客户端与您的负载均衡器之间建立连接时,这些配置用于进行 SSL 协商。SSL 协商配置提供了广泛的客户端兼容性,并使用高强度的加密算法。此规则要求您为 SSL 侦听器设置预定义的安全策略。默认安全策略是:ELBSecurityPolicy-TLS-1-2-2017-0。实际价值应反映贵组织的政策 | |
| 1173 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1173 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1173 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1173 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1173 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1228 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,用于标识您的AWS Cloud 环境中意外的和未经授权的恶意活动。 | |
| 1240 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| 1240 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| 1271 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1271 | 增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后,您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。 | |
| 1277 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1277 | 确保在AmazonAWS Relational Database Service (Amazon RDS) 实例上启用Identity and Access Management (IAM) 身份验证,以控制对系统和资产的访问。这强制使用安全套接字层 (SSL) 加密出站和进站数据库的网络流量。您无需将用户凭证存储在数据库中,因为身份验证是外部管理的。 | |
| 1277 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| 1380 | 确保实例元数据服务版本 2 (imdsv2) 方法已启用,以帮助保护对Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| 1380 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 1380 | AWSFargate 任务的安全更新和修补程序将自动部署。如果发现影响AWS Fargate 平台版本的安全问题,请AWS补丁该平台版本的安全问题。为了帮助对运行AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务进行补丁管理,请更新您的服务独立任务以使用最新的平台版本。 | |
| 1380 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 1380 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 1380 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1380 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 1380 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 1380 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 1380 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1380 | 为了帮助实现最小权限原则,请确保您的 Amazon CodeBuild 项目环境未启用特权模式。应禁用此设置,以防止意外访问 Docker API 以及容器的底层硬件。 | |
| 1380 | 为了帮助实现最小权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。 | |
| 1380 | 启用对 Amazon 弹性容器服务 (ECS) 容器的只读访问权限有助于遵守最低权限原则。此选项可以减少攻击向量,因为除非容器实例具有明确的读写权限,否则无法修改容器实例的文件系统。 | |
| 1380 | 为帮助实现最小权限原则,请确保指定非根用户访问您的 Amazon Elastic Container Service (Amazon ECS) 任务定义。 | |
| 1380 | 为帮助实现最小权限原则,请确保为您的 Amazon Elastic 文件系统 (Amazon EFS) 启用用户强制功能。启用后,Amazon EFS 将 NFS 客户端的用户和群组 ID 替换为在接入点上为所有文件系统操作配置的身份,并且仅授予对这种强制用户身份的访问权限。 | |
| 1380 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。 | |
| 1380 | 确保在AmazonAWS Relational Database Service (Amazon RDS) 实例上启用Identity and Access Management (IAM) 身份验证,以控制对系统和资产的访问。这强制使用安全套接字层 (SSL) 加密出站和进站数据库的网络流量。您无需将用户凭证存储在数据库中,因为身份验证是外部管理的。 | |
| 1380 | EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。 | |
| 1380 | 如果任务定义具有更高的权限,那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时,此控件会检查是否存在意外权限升级。 | |
| 1380 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 1380 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 1380 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 1388 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制常见端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1388 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制常见端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的访问。 | |
| 1401 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1401 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1401 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1401 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1401 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1402 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention(AWS基础安全最佳实践值:24)和 MaxPasswordAge(AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| 1404 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 1405 | CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 1405 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 1405 | 多区域_CLOUD_TRAIL_已启用 | |
| 1405 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| 1405 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1405 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 1405 | Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 1405 | 要帮助在您的环境中记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录功能 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 1405 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录记录以提供有关数据库中的中的用户活动信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 1405 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 桶提出的各种请求的详细记录,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| 1405 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 1405 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从AWS资源收到请求的时间、有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 1405 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 1405 | 确保启用AWS CodeBuild 项目日志记录,以便将构建输出日志发送到Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 1405 | 要捕获有关 Amazon Redshift 集群上的连接和用户活动的信息,请确保启用审核日志记录。 | |
| 1405 | 确保在您的亚马逊 OpenSearch服务域上启用了审计日志记录。通过它,您可以跟踪用户在您 OpenSearch 域上的活动,包括身份验证成功和失败、请求 OpenSearch、索引更改以及传入的搜索查询。 | |
| 1405 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1490 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| 1490 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| 1490 | 确保您的AWS WAF 的规则不为空。没有条件的规则可能会导致意想不到的行为。 | |
| 1490 | 确保您的AWS WAF 的规则组不为空。规则组为空可能会导致意外行为。 | |
| 1490 | 附加到AWS WAF 的 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组的规则。如果 Web ACL 为空,则 Web 流量不会被 WAF 检测到或采取任何行动。 | |
| 1490 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1501 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 1504 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1504 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1504 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1504 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1504 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1509 | CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 1509 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 1509 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了AWS、从中发出源 IP 地址以及发生时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 1509 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| 1509 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1509 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 1509 | Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 1509 | 要帮助在您的环境中记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录功能 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 1509 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录记录以提供有关数据库中的中的用户活动信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 1509 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 桶提出的各种请求的详细记录,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| 1509 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 1509 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从AWS资源收到请求的时间、有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 1509 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 1509 | 确保启用AWS CodeBuild 项目日志记录,以便将构建输出日志发送到Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 1509 | 要捕获有关 Amazon Redshift 集群上的连接和用户活动的信息,请确保启用审核日志记录。 | |
| 1509 | 确保在您的亚马逊 OpenSearch服务域上启用了审计日志记录。通过它,您可以跟踪用户在您 OpenSearch 域上的活动,包括身份验证成功和失败、请求 OpenSearch、索引更改以及传入的搜索查询。 | |
| 1509 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1511 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | 启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。 | |
| 1511 | 要帮助数据备份流程,请确保您的Amazon EElastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将一个对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保存、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制功能可帮助您轻松从用户意外操作和应用程序故障中恢复数据。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的 Amazon Aurora 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 1511 | 为帮助完成数据AWS备份流程,请确保您的Backup 恢复点设置了最短保留期。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays (默认配置:35)参数。实际价值应反映贵组织的需求。 | |
| 1511 | 要帮助进行数据备份流程,请确保您的 Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | 为了帮助完成数据备份流程,请确保您的 Amazon FSx 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1511 | Amazon Simple Storage Service (Amazon S3) 跨区域复制(CRR)支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保数据可用性得到维护。 | |
| 1511 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 1511 | 确保您的AWS Backup 恢复点附加了基于资源的策略,以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。 | |
| 1515 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| 1515 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | 要帮助数据备份流程,请确保您的Amazon EElastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| 1515 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | Amazon Simple Storage Service (Amazon S3) 跨区域复制(CRR)支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保数据可用性得到维护。 | |
| 1515 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将一个对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保存、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制功能可帮助您轻松从用户意外操作和应用程序故障中恢复数据。 | |
| 1515 | 为了帮助完成数据备份流程,请确保您的 Amazon Aurora 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 1515 | 确保您的AWS Backup 恢复点附加了基于资源的策略,以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。 | |
| 1515 | 要帮助进行数据备份流程,请确保您的 Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| 1515 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| 1536 | Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 1537 | 要帮助在您的环境中记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录功能 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 1537 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录记录以提供有关数据库中的中的用户活动信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 1552 | 通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。 | |
| 1552 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1552 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| 1552 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1552 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| 1579 | Amazon DynamoDB Auto Scaling 使用AWS应用程序Auto Scaling 服务来调整预置的吞吐容量,自动响应实际的流量模式。这样表或全局二级索引可以增加预置读取/写入容量以处理突增流量,不会受到限制。 | |
| 1580 | 为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡,以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中维持相同数量实例。这样,您就能够提高应用程序处理一个或多个实例丢失情况的能力。 | |
| 1580 | Amazon Relational Database Service (Amazon RDS) 中的多可用区支持提供了数据库实例的可用性和持久性。当您预置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并将数据同步复制到不同的可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行,并且经过精心设计,具有高度的可靠性。如果基础设施出现故障,Amazon RDS 会自动故障转移到备用服务器,这样您就可以在故障转移完成后立即恢复数据库操作。 | |
| 1580 | Amazon Relational Database Service (Amazon RDS) 集群应启用多可用区复制,以帮助提高所存储数据的可用性。每个可用区都在其自身物理上独立、独立的基础设施上运行,并且经过精心设计,具有高度的可靠性。如果基础设施出现故障,Amazon RDS 会自动故障转移到备用服务器,这样您就可以在故障转移完成后立即恢复数据库操作。 | |
| 1650 | CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 1650 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 1650 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了AWS、从中发出源 IP 地址以及发生时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 1650 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| 1650 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1650 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 1650 | Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 1650 | 要帮助在您的环境中记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录功能 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 1650 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录记录以提供有关数据库中的中的用户活动信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 1650 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 桶提出的各种请求的详细记录,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| 1650 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 1650 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从AWS资源收到请求的时间、有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 1650 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 1650 | 确保启用AWS CodeBuild 项目日志记录,以便将构建输出日志发送到Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 1650 | 要捕获有关 Amazon Redshift 集群上的连接和用户活动的信息,请确保启用审核日志记录。 | |
| 1650 | 确保在您的亚马逊 OpenSearch服务域上启用了审计日志记录。通过它,您可以跟踪用户在您 OpenSearch 域上的活动,包括身份验证成功和失败、请求 OpenSearch、索引更改以及传入的搜索查询。 | |
| 1650 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1657 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| 1657 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| 1657 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 1657 | 确保您的AWS WAF 的规则不为空。没有条件的规则可能会导致意想不到的行为。 | |
| 1657 | 确保您的AWS WAF 的规则组不为空。规则组为空可能会导致意外行为。 | |
| 1657 | 附加到AWS WAF 的 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组的规则。如果 Web ACL 为空,则 Web 流量不会被 WAF 检测到或采取任何行动。 | |
| 1657 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1661 | CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 1661 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 1661 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了AWS、从中发出源 IP 地址以及发生时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 1661 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| 1661 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1661 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 1661 | Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 1661 | 要帮助在您的环境中记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录功能 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 1661 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录记录以提供有关数据库中的中的用户活动信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 1661 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 存储桶提出的各种请求,可监控 Amazon S3 存储桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| 1661 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 1661 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从AWS资源收到请求的时间、有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 1661 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 1661 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 1679 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1679 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1679 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1679 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1679 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1680 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1680 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1680 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1680 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1680 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1681 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1681 | 启用此规则以限制对AWS云中资源的访问。此规则可确保所有用户启用多重身份验证 (MFA) 的功能。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 1681 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1681 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1681 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了额外的保护层。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1683 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 1683 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 存储桶提出的各种请求,可监控 Amazon S3 存储桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| 1690 | 确保实例元数据服务版本 2 (imdsv2) 方法已启用,以帮助保护对Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| 1690 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 1690 | AWSFargate 任务的安全更新和修补程序将自动部署。如果发现影响AWS Fargate 平台版本的安全问题,请AWS补丁该平台版本的安全问题。为了帮助对运行AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务进行补丁管理,请更新您的服务独立任务以使用最新的平台版本。 | |
| 1690 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 1690 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 1690 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1690 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 1691 | 确保实例元数据服务版本 2 (imdsv2) 方法已启用,以帮助保护对Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| 1691 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 1691 | AWSFargate 任务的安全更新和修补程序将自动部署。如果发现影响AWS Fargate 平台版本的安全问题,请AWS补丁该平台版本的安全问题。为了帮助对运行AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务进行补丁管理,请更新您的服务独立任务以使用最新的平台版本。 | |
| 1691 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 1691 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 1691 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1691 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 1693 | 确保实例元数据服务版本 2 (imdsv2) 方法已启用,以帮助保护对Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| 1693 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 1693 | AWSFargate 任务的安全更新和修补程序将自动部署。如果发现影响AWS Fargate 平台版本的安全问题,请AWS补丁该平台版本的安全问题。为了帮助对运行AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务进行补丁管理,请更新您的服务独立任务以使用最新的平台版本。 | |
| 1693 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 1693 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 1693 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 1693 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 1694 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 1695 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 1707 | 确保您的AWS Backup 恢复点附加了基于资源的策略,以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。 | |
| P1 | 确保Amazon Relational Database Service ervice (Amazon RDS) 实例启用删除保护。使用删除保护来防止 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序失去可用性。 | |
| P1 | 确保Amazon Relational Database Service ervice (Amazon RDS) 实例启用删除保护。使用删除保护来防止 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序失去可用性。 | |
| P3 | 确保实例元数据服务版本 2 (imdsv2) 方法已启用,以帮助保护对Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| P5 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| P7 | 确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持对Amazon Virtual Private Cloud(Amazon VPC)中的所有通信支持 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| P7 | 为帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求才能使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| P7 | 确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持对Amazon Virtual Private Cloud(Amazon VPC)中的所有通信支持 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| P7 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为与您的亚马逊 OpenSearch 服务域的连接启用 HTTPS。 | |
| P8 | Amazon Simple Storage Simple Storage Service(Amazon S3)服务器访问日志记录提供了一种监控,可监控 通过捕获对 Amazon S3 存储桶提出的各种请求,可监控 Amazon S3 存储桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细地记录请求者、存储桶名称、请求操作、响应状态和错误代码(如果相关)。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的 Amazon Aurora 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| P9 | 确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| P9 | 确保您的AWS Backup 恢复点附加了基于资源的策略,以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。 | |
| P9 | 为帮助完成数据AWS备份流程,请确保您的Backup 恢复点设置了最短保留期。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays (默认配置:35)参数。实际价值应反映贵组织的需求。 | |
| P9 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 要帮助数据备份流程,请确保您的Amazon EElastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 要帮助进行数据备份流程,请确保您的 Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的 Amazon FSx 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| P9 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| P10 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| P10 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| P10 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| P10 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| P10 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| P11 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。 |
模板
该模板可在以下网址找到 GitHub:ACSC ISM 操作最佳实践
