本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 CMMMC 第 4 级的运营最佳实践
Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。
以下提供了网络安全成熟度模型认证 (CMMC) 第 4 级和AWS托管Config 规则之间的示例映射。每个 Config 规则都适用于特定AWS资源,并与一个或多个 CMMC 第 4 级控件相关。一个 CMMC 第 4 级控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
AWS 区域: 除了(美国东部)和(美国西部)之外AWS GovCloud 的所有支持一致性包AWS 区域的地方AWS GovCloud (区域支持)
注意
由于DoD 和CMMC认证机构就CMMC 3-5级的FedRAMP互惠性提供了暂定指导,因此建议客户此时使用AWS GovCloud (美国)区域来处理任何需要符合CMMC 3-5级的工作负载。因此,为避免混淆,CMC 级别 3-5 的合规包模板在一致性包控制台中不可用。客户可以通过 CloudFormation 使用本文档中链接的示例 YAML 文件独立安装Config 规则,这些规则映射了 CMMC 第 3-5 级(不含一致性包模板)的暂定指南。
| 控制 ID | 控件描述 | AWSConfig 规则 | 指导 |
|---|---|---|---|
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保 IAM 访问密钥按照组织政策轮换,对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间,并减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 确保启用实例元数据服务版本 2 (imdsv2) 方法,以帮助保护对亚马逊拥有的 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对云的访问 Amazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 此规则可确保 SSAWS ecrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的活跃时间,并有可能减少机密泄露后对业务的影响。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 此规则可确保 SAWS ecrets Manager 机密已根据轮换时间表成功轮换。定期轮换机密可以缩短机密的活跃时间,并有可能减少机密泄露后对业务的影响。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0/0) 对安全组内资源的访问,可以控制对内部系统的远程访问。 | |
| AC.1.001 | 限制授权用户、代表授权用户操作的进程或设备(包括其他信息系统)访问信息系统。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 确保启用实例元数据服务版本 2 (imdsv2) 方法,以帮助保护对亚马逊拥有的 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对云的访问 Amazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.002 | 将信息系统的访问限制在允许授权用户执行的交易和功能的类型上。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.002 | 将信息系统的访问权限限制在允许授权用户执行的交易和功能的类型上。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.1.002 | 将信息系统的访问权限限制在允许授权用户执行的交易和功能的类型上。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| AC.1.002 | 将信息系统的访问权限限制在允许授权用户执行的交易和功能的类型上。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| AC.1.002 | 将信息系统的访问权限限制在允许授权用户执行的交易和功能的类型上。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| AC.1.003 | 验证和控制/限制与外部信息系统的连接和使用。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 确保启用实例元数据服务版本 2 (imdsv2) 方法,以帮助保护对亚马逊拥有的 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。imdsv2 方法使用基于会话的控件。使用 IMDSv2,可以实施控制来限制对实例元数据的更改。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对云的访问 Amazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| AC.2.007 | 采用最小小小小小小小小小小小小小小小小小小小小小小小小小小小小小特权 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.2.008 | 访问非安全功能时使用非特权帐户或角色。 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.2.013 | 监视和控制远程访问会话。 | 当某项指标在指定数量的评估期内,Amazon 会发出 CloudWatch 警报,会发出警报。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| AC.2.013 | 监视和控制远程访问会话。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AC.2.013 | 监视和控制远程访问会话。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,以标识您的AWS云环境中意外的和未经授权的恶意活动。 | |
| AC.2.013 | 监视和控制远程访问会话。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对云的访问 Amazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| AC.2.016 | 根据批准的授权控制 CUI 的流量。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶要求请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.014 | 使用加密机制来保护远程访问会话的机密性。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.3.017 | 将个人的职责分开,在不串通的情况下降低恶意活动的风险。 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AC.3.018 | 防止非特权用户执行特权函数,并在审计日志中捕获此类功能的执行情况。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对云的访问 Amazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保互联网网关仅连接到经授权的AWS Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| AC.4.023 | 控制互联系统上安全域之间的信息流动。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| AM.4.226 | 利用一种功能来发现和识别库存中具有特定组件属性(例如,固件级别、操作系统类型)的系统。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| AM.4.226 | 利用一种功能来发现和识别库存中具有特定组件属性(例如,固件级别、操作系统类型)的系统。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| AM.4.226 | 利用一种功能来发现和识别库存中具有特定组件属性(例如,固件级别、操作系统类型)的系统。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| AU.2.041 | 确保可以将个别系统用户的行为唯一地追溯到这些用户,这样他们就可以为自己的行为负责。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | 确保为您的日志组保留最短持续时间的事件日志数据,以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| AU.2.042 | 在所需的范围内创建和保留系统审核日志和记录,以监控、分析、调查和报告非法或未经授权的系统活动。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| AU.3.046 | 在审计日志记录过程失败时发出警报。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| AU.3.046 | 在审计日志记录过程失败时发出警报。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AU.3.046 | 在审计日志记录过程失败时发出警报。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,以标识您的AWS云环境中意外的和未经授权的恶意活动。 | |
| AU.3.046 | 在审计日志记录过程失败时发出警报。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 为帮助保护静态敏感数据,请确保对您的亚马逊 CloudWatch 日志组启用加密。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 确保您的Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定。由于敏感数据可能静态存在于 S3 存储桶中,因此强制执行静态对象锁定以帮助保护这些数据。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶要求请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制功能可帮助您轻松的从用户意外操作和应用程序故障中恢复。 | |
| AU.3.049 | 保护审计信息和审核记录工具免遭未经授权的访问、修改和删除。 | 确保对您的Amazon S简单存储服务 (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| AU.3.051 | 关联审计记录审查、分析和报告流程,以调查和应对非法、未授权、可疑或异常活动的迹象。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,以标识您的AWS云环境中意外的和未经授权的恶意活动。 | |
| AU.3.051 | 关联审计记录审查、分析和报告流程,以调查和应对非法、未授权、可疑或异常活动的迹象。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| AU.4.053 | 自动分析审计日志,以识别关键指标 (TTP) 和/或组织定义的可疑活动并采取行动。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| AU.4.053 | 自动分析审计日志,以识别关键指标 (TTP) 和/或组织定义的可疑活动并采取行动。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| AU.4.053 | 自动分析审计日志,以识别关键指标 (TTP) 和/或组织定义的可疑活动并采取行动。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,以标识您的AWS云环境中意外的和未经授权的恶意活动。 | |
| AU.4.053 | 自动分析审计日志,以识别关键指标 (TTP) 和/或组织定义的可疑活动并采取行动。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| AU.4.054 | 查看审计信息,了解除每台计算机活动以外的广泛活动。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| AU.4.054 | 查看审计信息,了解除每台计算机活动以外的广泛活动。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,以标识您的AWS云环境中意外的和未经授权的恶意活动。 | |
| AU.4.054 | 查看审计信息,了解除每台计算机活动以外的广泛活动。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| CA.3.161 | 持续监控安全控制,确保控制措施的持续有效性。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| CA.3.161 | 持续监控安全控制,确保控制措施的持续有效性。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| CA.3.161 | 持续监控安全控制,确保控制措施的持续有效性。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 启用此规则可根据贵组织的标准检查 Amazon EC2 实例的停止天数是否超过允许的天数,从而帮助完成 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基准配置。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 此规则可确保在实例终止时将附加到Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为删除。如果 Amazon EBS 卷在其所连接的实例终止时未将其删除,则可能违反功能最少的概念。 | |
| CM.2.061 | 在相应的系统开发生命周期中,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。 | 此规则可确保分配给Amazon Virtual Private Cloud (Amazon VPC) 的弹性 IP 连接到Amazon Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹 此规则有助于监控环境中未使用的 EIP。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 此规则可确保在实例终止时将附加到Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为删除。如果 Amazon EBS 卷在其所连接的实例终止时未将其删除,则可能违反功能最少的概念。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保亚马逊 OpenSearch 服务(OpenSearch 服务)域位于亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC) 中,管理对云的访问。AWSAmazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保互联网网关仅连接到经授权的AWS亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| CM.2.062 | 采用最小功能原则,将组织系统配置为仅提供基本功能。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| CM.2.063 | 控制和监视用户安装的软件。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| CM.2.063 | 控制和监视用户安装的软件。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| CM.2.063 | 控制和监视用户安装的软件。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致,这可能会暴露资源和敏感数据。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| CM.2.064 | 为组织系统中使用的信息技术产品建立和强制执行安全配置设置。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| CM.2.065 | 跟踪、审查、批准或不批准,并记录对组织系统的更改。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保互联网网关仅连接到经授权的AWS亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| CM.3.068 | 限制、禁用或阻止使用不必要的程序、功能、端口、协议和服务。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| IA.1.076 | 识别信息系统用户、代表用户操作的进程或设备。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| IA.1.077 | 验证(或验证)这些用户、流程或设备的身份,这是允许访问组织信息系统的先决条件。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| IA.2.078 | 在创建新密码时,强制将密码复杂性降至最低并更改字符。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| IA.2.079 | 禁止在指定数量的代内重复使用密码。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可以捕获 API 方法的敏感数据,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 请确保您的Amazon Relational Database Service (Amazon RDS) 快照已 由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护静态数据,请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护静态数据,请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶要求请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保对您的Amazon S简单存储服务 (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为帮助保护静态数据,请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。 | |
| IA.2.081 | 仅存储和传输受加密保护的密码。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| IA.3.083 | 使用多因素身份验证对特权帐户进行本地和网络访问,以及对非特权帐户进行网络访问。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| IA.3.083 | 使用多因素身份验证对特权帐户进行本地和网络访问,以及对非特权帐户进行网络访问。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| IA.3.083 | 使用多因素身份验证对特权帐户进行本地和网络访问,以及对非特权帐户进行网络访问。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| IA.3.083 | 使用多因素身份验证对特权帐户进行本地和网络访问,以及对非特权帐户进行网络访问。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| IA.3.086 | 在规定的非活动时间段后禁用标识符。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| IA.3.086 | 在规定的非活动时间段后禁用标识符。 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| IR.2.092 | 为组织系统建立操作事件处理能力,包括准备、检测、分析、控制、恢复和用户响应活动。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| IR.2.092 | 为组织系统建立操作事件处理能力,包括准备、检测、分析、控制、恢复和用户响应活动。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| IR.2.092 | 为组织系统建立操作事件处理能力,包括准备、检测、分析、控制、恢复和用户响应活动。 | 亚马逊通过按严重程度对调查结果进行分类:低、中和高,来 GuardDuty 帮助您了解事件的影响。您可以使用这些分类来确定补救策略和优先级。此规则允许您根据组织策略的要求选择性地为非存档的调查结果设置 daysMediumSev (Config 默认值:30)、 daysHighSev (Config 默认值:7)和(Config 默认值:1)。 daysLowSev | |
| IR.2.092 | 为组织系统建立操作事件处理能力,包括准备、检测、分析、控制、恢复和用户响应活动。 | 启用此规则可以在功能失败时通过Amazon Simple Queue Service (Amazon SQS) 或Amazon Simple Notion Service (Amazon SNS),帮助通知相应的人员 | |
| IR.2.092 | 为组织系统建立操作事件处理能力,包括准备、检测、分析、控制、恢复和用户响应活动。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| IR.2.093 | 检测和报告事件。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 组的Elastic Load Balancer (ELB) 运行状况检查支持保持足够的容量和可用性 负载均衡器会定期发送 ping、尝试连接或发送请求以测试 Amazon EC2 实例运行。如果实例未报告,则流量将发送到新的 Amazon EC2 实例。 | |
| IR.2.093 | 检测和报告事件。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| IR.2.093 | 检测和报告事件。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| IR.2.093 | 检测和报告事件。 | 启用此规则可以在功能失败时通过Amazon Simple Queue Service (Amazon SQS) 或Amazon Simple Notion Service (Amazon SNS),帮助通知相应的人员 | |
| IR.2.093 | 检测和报告事件。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| MA.2.113 | 需要多因素身份验证才能通过外部网络连接建立非本地维护会话,并在非本地维护完成后终止此类连接。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| MA.2.113 | 需要多因素身份验证才能通过外部网络连接建立非本地维护会话,并在非本地维护完成后终止此类连接。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为了帮助数据备份流程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.2.137 | 定期执行和测试数据备份。 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| RE.2.137 | 定期执行和测试数据备份。 | Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 桶自以步地复制对象,有助于确保数据可用性得到维护。 | |
| RE.2.137 | 定期执行和测试数据备份。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制功能可帮助您轻松的从用户意外操作和应用程序故障中恢复。 | |
| RE.2.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制可帮助您轻松从用户和应用程序应用程序中恢复数据。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为了帮助数据备份流程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| RE.3.139 | 按照组织定义,定期执行完整、全面和有弹性的数据备份。 | Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 桶自以步地复制对象,有助于确保数据可用性得到维护。 | |
| RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。 | 启用此规则有助于识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。 | 亚马逊通过按严重程度对调查结果进行分类:低、中和高,来 GuardDuty 帮助您了解事件的影响。您可以使用这些分类来确定补救策略和优先级。此规则允许您根据组织策略的要求选择性地为非存档的调查结果设置 daysMediumSev (Config 默认值:30)、 daysHighSev (Config 默认值:7)和(Config 默认值:1)。 daysLowSev | |
| RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| RM.4.150 | 利用威胁情报为系统和安全架构的开发、安全解决方案的选择、监控、威胁搜寻以及响应和恢复活动提供信息。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| RM.4.151 | 在组织的 Internet 网络边界和其他组织定义的边界上对外围网络边界上可用的未经授权的端口进行扫描。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| RM.4.151 | 在组织的 Internet 网络边界和其他组织定义的边界上对外围网络边界上可用的未经授权的端口进行扫描。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| RM.4.151 | 在组织的 Internet 网络边界和其他组织定义的边界上对外围网络边界上可用的未经授权的端口进行扫描。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| RM.4.151 | 在组织的 Internet 网络边界和其他组织定义的边界上对外围网络边界上可用的未经授权的端口进行扫描。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| SA.4.171 | 建立和维护网络威胁搜寻能力,以搜索组织系统中的入侵指标,检测、跟踪和破坏规避现有控制的威胁。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保亚马逊 OpenSearch 服务(OpenSearch 服务)域位于亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC) 中,管理对云的访问。AWSAmazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保互联网网关仅连接到经授权的AWS亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶要求请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| SC.1.175 | 监测、控制和保护信息系统的外部边界和关键内部边界上的组织通信(即组织信息系统传输或接收的信息)。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.2.179 | 使用加密会话管理网络设备。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.2.179 | 使用加密会话管理网络设备。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| SC.2.179 | 使用加密会话管理网络设备。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.2.179 | 使用加密会话管理网络设备。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.2.179 | 使用加密会话管理网络设备。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致,这可能会暴露资源和敏感数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 此规则通过检查是否启用了多个设置AWS CloudTrail,有助于确保使用AWS推荐的安全最佳实践。其中包括使用日志加密、日志验证和AWS CloudTrail 在多个区域中启用。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 在AWS Codbuild 项目环境中不存在。不要将这些变量存储在明文中。以明文形式存储这些变量会导致意外的数据泄露和未经授权的访问。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保 GitHub 或 Bitbucket 源存储库网址不包含AWS Codebuild 项目环境中的个人访问令牌和登录凭证。使用 OAuth 代替个人访问令牌或登录凭证来授予访问 GitHub 或 Bitbucket 存储库的授权。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务来调整预置的吞吐容量,以自动响应实际的流量模式。这样表或全局二级索引可以增加其预置读取/写入容量以处理突增流量,而不进行限制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为了帮助数据备份流程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供了额外的专用容量。这种优化通过最小化 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最高效的性能。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保亚马逊 OpenSearch 服务(OpenSearch 服务)域位于亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC) 中,管理对云的访问。AWSAmazon VPC 中的 OpenSearch 服务域,您可以在 Service 和 Amazon VPC 中的其他服务之间 OpenSearch 进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡,以帮助保持足够的容量和可用性。跨区域负载均衡可减少在每个已启用的可用区中维持相同数量的实例的需求。它还提高了应用程序处理一个或多个实例丢失情况的能力。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过在 Amazon VPC 中部署 Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) 实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保互联网网关仅连接到经授权的AWS亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以实现函数与其他服务之间的安全通信。使用这种配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 请确保Amazon Relational Database Service (Amazon RDS) 使用删除保护来防止 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序失去可用性。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Relational Database Service (Amazon RDS) 中的多可用区支持数据库实例的可用性和耐久性。当您预置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行,并且经过精心设计,具有高度的可靠性。如果基础设施出现故障,Amazon RDS 会自动故障转移到备用服务器,这样您就可以在故障转移完成后立即恢复数据库操作。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照,以先到者为准。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保您的Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定。由于敏感数据可能静态存在于 S3 存储桶中,因此强制执行静态对象锁定以帮助保护这些数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 桶自以步地复制对象,有助于确保数据可用性得到维护。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原在 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制可帮助您轻松从用户和应用程序应用程序中恢复数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN 连接不可用,它使用两个隧道来帮助确保连接。要避免因您的客户网关变得不可用而造成连接中断,您可使用第二个客户网关来为您的 Amazon VPN 和虚拟私有网关设置第二个站点到站点 VPC PN 连接。 | |
| SC.3.180 | 采用架构设计、软件开发技术和系统工程原理,促进组织系统内的有效信息安全。 | 通过确保AmazonAWS Service Serv OpenSearch icate Cloud (Amazon VPC) 内来管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service 域,您可以在 Amazon OpenSearch Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.000/0 的入站或远程) | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保互联网网关仅连接到经授权的AWS亚马逊拥有的 Amazon Virtual Private Cloud (Amazon VPC),管理对云中资源的访问。互联网网关允许双向互联网访问 Amazon VPC 和从 Amazon VPC 进行双向互联网访问,这可能会导致对亚马逊 VPC 资源的未经授权的访问。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保 Amazon Relalalal Database Service (Amazon RDS) 实例来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保无法公开访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过仅允许授权的用户、流程和设备访问特定的亚马逊拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入站和出站网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| SC.3.182 | 防止通过共享系统资源进行未经授权和意外的信息传输。 | 通过确保在 Amazon Elastic CompututeAWS Cloud (Amazon EC2) 安全组上限制公共端口,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0/0) 中发出调调调调调调调调调调调调调调用的控制。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶要求请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.185 | 实施加密机制,防止在传输过程中未经授权泄露 CUI,除非另有其他物理保护措施保护。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.187 | 建立和管理组织系统中使用的密码学的加密密钥。 | 启用密钥轮换,确保密钥在加密周期结束后轮换。 | |
| SC.3.187 | 建立和管理组织系统中使用的密码学的加密密钥。 | 为帮助保护静态数据,请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥是无意中安排的。 | |
| SC.3.190 | 保护通信会话的真实性。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.190 | 保护通信会话的真实性。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| SC.3.190 | 保护通信会话的真实性。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.3.190 | 保护通信会话的真实性。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| SC.3.190 | 保护通信会话的真实性。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.190 | 保护通信会话的真实性。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可以捕获 API 方法的敏感数据,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为帮助保护静态敏感数据,请确保对您的亚马逊 CloudWatch 日志组启用加密。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 请确保您的Amazon Relational Database Service (Amazon RDS) 快照已 由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为了帮助保护静态数据,请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为了帮助保护静态数据,请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 确保您的Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为帮助保护静态数据,请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。 | |
| SC.3.191 | 保护 CUI 的静态机密性。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。 | |
| SC.4.199 | 利用威胁情报主动阻止 DNS 请求到达恶意域。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| SC.4.199 | 利用威胁情报主动阻止 DNS 请求到达恶意域。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| SC.4.202 | 使用机制分析跨越互联网网络边界或其他组织定义边界的可执行代码和脚本(例如沙盒)。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.1.210 | 及时识别、报告和纠正信息和信息系统缺陷。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| SI.1.210 | 及时识别、报告和纠正信息和信息系统缺陷。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.1.210 | 及时识别、报告和纠正信息和信息系统缺陷。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| SI.1.211 | 在组织信息系统内的适当位置提供保护,使其免受恶意代码的侵害。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.1.213 | 在下载、打开或执行文件时,定期扫描信息系统并实时扫描来自外部来源的文件。 | Amazon Elastic Constaninal Reporate Seristorate (ECR) 映像有助于识别容器映像中的 在 ECR 存储库上启用图像扫描可为所存储图像的完整性和安全性增加一层验证。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | 如果某指标在指定数量的评估期内超出阈值,Amazon CloudWatch 告警。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| SI.2.214 | 监控系统安全警报和建议,并采取相应措施。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | AWS利用 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| SI.2.216 | 监控组织系统,包括入站和出站通信流量,以检测攻击和潜在攻击指标。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | Simple Storage Service (Amazon S3) 数据事件有助于检测任何异活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调从中发出调调调调调调调调调AWS调调调调调调从中发出调调调调调调调调调调调调调调调调调调调调调调调调 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | 为了帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监视网络中潜在的网络安全事件的方法。通过捕对 Amazon S3 存储桶提出的各种请求,从而对这些事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织来自多个AWS服务的安全提醒或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| SI.2.217 | 识别未经授权使用组织系统的行为。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| SI.4.221 | 使用与受保护的信息和系统相关的威胁指示信息以及从外部组织获得的有效缓解措施,为入侵检测和威胁搜寻提供信息。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意的托管式 IP 和机器学习的列表,用于标识您托管式AWS Cloud 环境中的托管式和恶意活动。 |
模板
该模板可在以下网址获得 GitHub:CMMC 第 4 级操作最佳实践
