本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 FFIEC 的运营最佳实践
Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。
以下提供了联邦金融机构审查委员会 (FFIEC) 网络安全评估工具域和AWS托管Config 规则之间的示例映射。每个 Config 规则都适用于特定AWS资源,并与一个或多个 FFIEC 网络安全评估工具控件相关。FFIEC 网络安全评估工具控件可以与多个Config 规则相关。有关这些映射的更多详细信息和指导,请参阅下表。
AWS 区域: 除了(美国东部)、AWS GovCloud (美国西部)和中东AWS GovCloud (巴林)之外的所有支持一致性包AWS 区域的地方(区域支持)
| 控制 ID | 控件描述 | AWSConfig 规则 | 指导 |
|---|---|---|---|
| D1.G.IT.B.1 | 维护组织资产(例如外部托管的硬件、软件、数据和系统)的清单。 | 通过AWS系统管理器,您可以通过管理Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| D1.G.IT.B.1 | 维护组织资产(例如外部托管的硬件、软件、数据和系统)的清单。 | 启用此规则可根据贵组织的标准检查 Amazon EC2 实例的停止天数是否超过允许的天数,从而帮助完成 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基准配置。 | |
| D1.G.IT.B.1 | 维护组织资产(例如外部托管的硬件、软件、数据和系统)的清单。 | 此规则可确保在实例终止时失去连接 Amazon Elastic Block Store (Amazon EC2) 实例的Amazon Elastic Block Store (Amazon EC2) 卷。如果 Amazon EBS 卷在其所连接的实例终止时未将其删除,则可能违反功能最少的概念。 | |
| D1.G.IT.B.1 | 维护组织资产(例如外部托管的硬件、软件、数据和系统)的清单。 | 此规则可确保分配给Amazon Virtual Private Cloud (Amazon VPC) 的 Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹性网络接口。此规则有助于监控环境中未使用的 EIP。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或发送请求以测试 Amazon EC2 实例运行状况以测试 Amazon auto-scaling 2 实例运行状况。如果实例未报告,则流量将发送到新的 Amazon EC2 实例。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | Amazon Simple Storage Service (Amazon S3) age Service (CRR) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 桶自动、异步地复制对象,以帮助确保维持数据可用性。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为帮助完成数据备份流程,请确保将 Amazon Elastic Block Store (Amazon EBS) 卷作为BAWS ackup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | Amazon Relational Database Service (Amazon RDS) 中的多可用区支持可增强数据库实例的可用性和持久性 在您预置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行,并且经过精心设计,具有高度的可靠性。如果基础设施出现故障,Amazon RDS 会自动故障转移到备用服务器,这样您就可以在故障转移完成后立即恢复数据库操作。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为了帮助完成数据备份流程,请确保您的 Amazon Aurora 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 确保您的AWS Backup 恢复点附加了基于资源的策略,以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为帮助完成数据AWS备份流程,请确保您的Backup 恢复点设置了最短保留期。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays (默认配置:35)参数。实际价值应反映贵组织的需求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 要帮助完成数据备份流程,请确保您的 Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d1.rm.rm.b.1 | 机构内存在信息安全和业务连续性风险管理职能。 | 为了帮助完成数据备份流程,请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时,Redshift 会定期拍摄该集群的快照。默认情况下,Redshift 每 8 小时或每 5 GB 数据更改或先到者拍摄一次快照。 | |
| D1.RM.RA.B.2 | 风险评估确定了需要额外认证控制的基于互联网的系统和高风险交易。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| D1.RM.RA.B.2 | 风险评估确定了需要额外认证控制的基于互联网的系统和高风险交易。 | annual-risk-assessment-performed (过程检查) | 对您的组织进行年度风险评估。风险评估可以帮助确定已识别的风险和/或漏洞影响组织的可能性和影响。 |
| d1.tc.tr.b.2 | 年度信息安全培训包括事件响应、当前的网络威胁(例如网络钓鱼、鱼叉式网络钓鱼、社交工程和移动安全)和新出现的问题。 | security-awareness-program-exists (过程检查) | 为您的组织建立和维护安全意识计划。安全意识计划教育员工如何保护其组织免受各种安全漏洞或事件的侵害。 |
| d2.is.is.b.1 | 收集信息安全威胁并与适用的内部员工共享。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d2.is.is.b.1 | 收集信息安全威胁并与适用的内部员工共享。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d2.is.is.b.1 | 收集信息安全威胁并与适用的内部员工共享。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络是否存在潜在的网络安全事件的方法。通过捕获对 Amazon S3 桶提出的各种请求,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 默认情况下,请确保您的Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定功能。由于敏感数据可能静态存在于 S3 存储桶中,因此强制执行静态对象锁定以帮助保护这些数据。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 确保为您的日志组保留最短持续时间的事件日志数据,以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 为帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志会记录AWS WAF 从AWS资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d2.ma.ma.b.1 | 审核日志记录和其他安全事件日志以安全的方式进行审查和保存。 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络是否存在潜在的网络安全事件的方法。通过捕获对 Amazon S3 桶提出的各种请求,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d2.ma.ma.b.2 | 事件发生后,计算机事件日志用于调查。 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| d2.ti.ti.b.1 | 该机构属于或订阅提供威胁信息的威胁和漏洞信息共享来源(例如 FS-ISAC、US-CERT)。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d2.ti.ti.b.1 | 该机构属于或订阅提供威胁信息的威胁和漏洞信息共享来源(例如 FS-ISAC、US-CERT)。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d2.ti.ti.b.2 | 威胁信息用于监控威胁和漏洞。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| d2.ti.ti.b.2 | 威胁信息用于监控威胁和漏洞。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d2.ti.ti.b.2 | 威胁信息用于监控威胁和漏洞。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d2.ti.ti.b.3 | 威胁信息用于加强内部风险管理和控制。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d2.ti.ti.b.3 | 威胁信息用于加强内部风险管理和控制。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| D3.CC.PM.B.1 | 实施补丁管理程序,确保及时应用软件和固件补丁。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| D3.CC.PM.B.1 | 实施补丁管理程序,确保及时应用软件和固件补丁。 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| D3.CC.PM.B.1 | 实施补丁管理程序,确保及时应用软件和固件补丁。 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| D3.CC.PM.B.1 | 实施补丁管理程序,确保及时应用软件和固件补丁。 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| D3.CC.PM.B.3 | 补丁管理报告经过审查并反映缺失的安全补丁。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| D3.CC.PM.B.3 | 补丁管理报告经过审查并反映缺失的安全补丁。 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| D3.CC.PM.B.3 | 补丁管理报告经过审查并反映缺失的安全补丁。 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| D3.CC.PM.B.3 | 补丁管理报告经过审查并反映缺失的安全补丁。 | 此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| d3.dc.an.b.1 | 该机构能够通过监测整个环境来发现异常活动。 | 亚马逊通过按严重程度对调查结果进行分类:低、中和高,来 GuardDuty 帮助您了解事件的影响。您可以使用这些分类来确定补救策略和优先级。此规则允许您根据组织策略的要求选择性地为非存档的调查结果设置 daysMediumSev (Config 默认值:30)、 daysHighSev (Config 默认值:7)和(Config 默认值:1)。 daysLowSev | |
| d3.dc.an.b.1 | 该机构能够通过监测整个环境来发现异常活动。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d3.dc.an.b.1 | 该机构能够通过监测整个环境来发现异常活动。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d3.dc.an.b.2 | 对生成异常活动警报的客户交易进行监控和审查。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d3.dc.an.b.2 | 对生成异常活动警报的客户交易进行监控和审查。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络是否存在潜在的网络安全事件的方法。通过捕获对 Amazon S3 桶提出的各种请求,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | 为帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志会记录AWS WAF 从AWS资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d3.dc.an.b.3 | 事件发生后,将查看物理和/或逻辑访问日志。 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 为帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志会记录AWS WAF 从AWS资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络是否存在潜在的网络安全事件的方法。通过捕获对 Amazon S3 桶提出的各种请求,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d3.dc.an.b.4 | 监控第三方对关键系统的访问是否存在未经授权或异常的活动 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| d3.dc.an.b.5 | 对提升的权限进行监控。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.dc.an.b.5 | 对提升的权限进行监控。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | 此规则确保建立 Lambda 函数的并发上限和下限。这可以帮助确定您的函数在任何给定时间所服务的请求的数量的基准。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d3.dc.ev.b.1 | 建立了正常的网络活动基线。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d3.dc.ev.b.2 | 已建立机制(例如防病毒警报、日志事件警报),以提醒管理层注意潜在的攻击。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d3.dc.ev.b.3 | 已制定流程来监控是否存在未经授权的用户、设备、连接和软件。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d3.dc.ev.b.3 | 已制定流程来监控是否存在未经授权的用户、设备、连接和软件。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d3.dc.ev.b.3 | 已制定流程来监控是否存在未经授权的用户、设备、连接和软件。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d3.dc.ev.b.3 | 已制定流程来监控是否存在未经授权的用户、设备、连接和软件。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.dc.th.b.1 | 独立测试(包括渗透测试和漏洞扫描)是根据面向外部的系统和内部网络的风险评估进行的。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d3.dc.th.b.1 | 独立测试(包括渗透测试和漏洞扫描)是根据面向外部的系统和内部网络的风险评估进行的。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d3.dc.th.b.1 | 独立测试(包括渗透测试和漏洞扫描)是根据面向外部的系统和内部网络的风险评估进行的。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 此规则确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 如果任务定义具有更高的权限,那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时,此控件会检查是否存在意外权限升级。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| d3.pc.am.b.1 | 根据工作职责和最低权限原则,授予员工访问系统和机密数据的权限。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.10 | 生产和非生产环境是隔离的,以防止未经授权的访问或更改信息资产。(*如果机构或机构的第三方不存在生产环境,则不适用。) | 在Amazon Virtual Private Cloud (Amazon EC2) 实例,您可以在 Amazon VPC 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| d3.pc.am.b.10 | 生产和非生产环境是隔离的,以防止未经授权的访问或更改信息资产。(*如果机构或机构的第三方不存在生产环境,则不适用。) | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0/0) 访问安全组中的资源,可以控制对内部系统的远程访问。 | |
| d3.pc.am.b.10 | 生产和非生产环境是隔离的,以防止未经授权的访问或更改信息资产。(*如果机构或机构的第三方不存在生产环境,则不适用。) | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在您的资源上不允许从 0.0/0 到端口 22 的入站流量(或远程)流量可以帮助您限制远程访问。 | |
| d3.pc.am.b.10 | 生产和非生产环境是隔离的,以防止未经授权的访问或更改信息资产。(*如果机构或机构的第三方不存在生产环境,则不适用。) | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内,Kerberog服务器被称为密钥分配中心(KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求才能使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为帮助保护静态数据,请确保已为 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 由于敏感数据并有助于保护静态数据并帮助保护静态数据,请确保对Amazon Elastic Block Store (Amazon EBS) 卷启用加密。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。N code-to-node rputy Cloud (Amazon VPC) 内的所有通信都启用 TLS 1.2 加密。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。N code-to-node rputy Cloud (Amazon VPC) 内的所有通信都启用 TLS 1.2 加密。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 为了帮助保护静态数据,请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中,因此启用静态加密以帮助保护这些数据。 | |
| d3.pc.am.b.12 | 所有密码在存储和传输过程中都经过加密。 | 确保您的Amazon Simple Storage(Amazon S3)存储桶已启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 通过AWS服务和内部资源管理、预置和部署公共和私有 SSL/TLS 证书。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求才能使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| d3.pc.am.b.13 | 机密数据在通过公共或不可信网络(例如 Internet)传输时会被加密。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 通过AWS服务和内部资源管理、预置和部署公共和私有 SSL/TLS 证书。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求才能使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| d3.pc.am.b.15 | 员工、承包商和第三方使用加密连接和多因素身份验证远程访问关键系统。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| d3.pc.am.b.16 | 管理、物理或技术控制措施已到位,以防止没有管理责任的用户安装未经授权的软件。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.16 | 管理、物理或技术控制措施已到位,以防止没有管理责任的用户安装未经授权的软件。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| d3.pc.am.b.16 | 管理、物理或技术控制措施已到位,以防止没有管理责任的用户安装未经授权的软件。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.16 | 管理、物理或技术控制措施已到位,以防止没有管理责任的用户安装未经授权的软件。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.2 | 员工对系统和机密数据的访问规定了职责分离。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.2 | 员工对系统和机密数据的访问规定了职责分离。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.2 | 员工对系统和机密数据的访问规定了职责分离。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制) | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制) | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制)。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制) | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制) | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.3 | 提升的权限(例如管理员权限)受到限制和严格控制(例如,分配给个人,不能共享,需要更强的密码控制) | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证(MFA)。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 此规则确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| d3.pc.am.b.6 | 访问系统、应用程序和硬件需要进行身份验证和身份验证,并对其进行管理。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.am.b.7 | 访问控制包括密码复杂性以及对密码尝试和重复使用的限制。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention (AWS基础安全最佳实践值:24)和 MaxPasswordAge (AWS基础安全最佳实践值:90)IAM 密码策略。实际值应反映贵组织的政策。 | |
| d3.pc.am.b.8 | 在系统实施之前,所有默认密码和不必要的默认帐户都将更改。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保AmazonAWS Service( OpenSearch OpenSearch 服务)域在 Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。Amazon VPC 中的 OpenSearch 服务域,您可以在 Amazon VPC 中的 OpenSearch 服务和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在您的资源上不允许从 0.0/0 到端口 22 的入站流量(或远程)流量可以帮助您限制远程访问。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 在Amazon Virtual Private Cloud (Amazon EC2) 实例,您可以在 Amazon VPC 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 在 Amazon VirtuAWS Lambda l Private Cloud (Amazon VPC) 中进行安全通信。使用此配置,无需互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过仅允许授权用户、流程和设备访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。访问管理应与数据的分类保持一致。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过仅允许授权用户、流程和设备访问 Amazon Simple Storage SerAWS vice (Amazon S3) 存储桶。访问管理应与数据的分类保持一致。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保亚马逊 SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0/0) 访问安全组中的资源,可以控制对内部系统的远程访问。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | AWS通过 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则和条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保AmazonAWS Serv OpenSearch ice 域在 Amazon Virtual Private Cloud (Amazon VPC) 内来管理对 Amazon VP中的Amazon VPC 中的Amazon Serv OpenSearch ice 域,您可以在 Amazon OpenSearch VPC 中的Amazon VPC 中的Amazon Service 域,您可以在 Amazon VPC 中的Amazon Evice | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| d3.pc.im.b.1 | 使用网络外围防御工具(例如边界路由器和防火墙)。 | 增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后,您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0/0) 访问安全组中的资源,可以控制对内部系统的远程访问。 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在您的资源上不允许从 0.0/0 到端口 22 的入站流量(或远程)流量可以帮助您限制远程访问。 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | AWS通过 WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则和条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| D3.PC.IM.B.2 | 从 Internet 或外部方访问的系统受防火墙或其他类似设备的保护。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多的资源。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志会记录AWS WAF 从AWS资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| D3.PC.IM.B.3 | 所有端口都受到监控。 | VPC 流日志提供有关在Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| d3.pc.im.b.5 | 系统配置(用于服务器、台式机、路由器等)遵循行业标准并得到强制执行 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| d3.pc.im.b.5 | 系统配置(用于服务器、台式机、路由器等)遵循行业标准并得到强制执行 | 通过AWS系统管理器,您可以通过管理Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| d3.pc.im.b.5 | 系统配置(用于服务器、台式机、路由器等)遵循行业标准并得到强制执行 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| D3.PC.IM.B.6 | 如果不再需要用于商业目的的端口、功能、协议和服务,则禁止使用。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0/0) 访问安全组内资源,可以控制对内部系统的远程访问。 | |
| D3.PC.IM.B.6 | 如果不再需要用于商业目的的端口、功能、协议和服务,则禁止使用。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| D3.PC.IM.B.6 | 如果不再需要用于商业目的的端口、功能、协议和服务,则禁止使用。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在您的资源上不允许从 0.0/0 到端口 22 的入站流量(或远程)流量可以帮助您限制远程访问。 | |
| D3.PC.IM.B.6 | 如果不再需要用于商业目的的端口、功能、协议和服务,则禁止使用。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | 此规则确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d3.pc.im.b.7 | 更改系统配置(包括虚拟机和虚拟机管理程序)的访问权限受到控制和监控。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| d3.pc.se.b.1 | 在该机构工作的开发人员遵循符合行业标准的安全程序编码惯例,这是系统开发生命周期 (SDLC) 的一部分。 | 确保在AWS Codebuild 项目环境中不存在AWS_ACCESS_ACCESS_KEY 和 AWS_SECRET_ACCESS_KEY。不要将这些变量存储在明文中。以明文形式存储这些变量会导致意外的数据泄露和未经授权的访问。 | |
| d3.pc.se.b.1 | 在该机构工作的开发人员遵循符合行业标准的安全程序编码惯例,这是系统开发生命周期 (SDLC) 的一部分。 | 确保 GitHub 或 Bitbucket 源存储库网址不包含AWS Codebuild 项目环境中的个人访问令牌和登录凭证。使用 OAuth 代替个人访问令牌或登录凭证来授予访问 GitHub 或 Bitbucket 存储库的授权。 | |
| D4.C.Co.B.2 | 该机构确保第三方连接获得授权。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0/0) 访问安全组内资源,可以控制对内部系统的远程访问。 | |
| D4.C.Co.B.2 | 该机构确保第三方连接获得授权。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| D4.C.Co.B.2 | 该机构确保第三方连接获得授权。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在您的资源上不允许从 0.0/0 到端口 22 的入站流量(或远程)流量可以帮助您限制远程访问。 | |
| D4.C.Co.B.2 | 该机构确保第三方连接获得授权。 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上受到限制,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| d5.dr.de.b.1 | 警报参数是为检测信息安全事件而设置的,这些事件会提示采取缓解措施。 | 如果某个指标在指定数量的评估期内超出阈值,Amazon Amazon 会发出 CloudWatch 警报。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| d5.dr.de.b.1 | 警报参数是为检测信息安全事件而设置的,这些事件会提示采取缓解措施。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d5.dr.de.b.1 | 警报参数是为检测信息安全事件而设置的,这些事件会提示采取缓解措施。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d5.dr.de.b.2 | 系统性能报告包含可用作风险指示器以检测信息安全事件的信息 | 启用此规则 Amazon Simple Queue Service (Amazon SQS) 失败时失去功能。 | |
| d5.dr.de.b.2 | 系统性能报告包含可用作风险指示器以检测信息安全事件的信息 | 启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源,以满足吞吐量需求。当吞吐量接近客户账户的最大限制时,此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage (Config 默认值:80)和 accountWCUThresholdPercentage (Config 默认值:80)参数。实际值应反映贵组织的政策。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | Elastic Load Balancing 活动是环境中的中心通信点。确保 ELB 日志日志已启用。收集的数据可提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 收集Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户和账户AWS和账户和账户和账户和账户和账户、从中发出时间、从中发出时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志,以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络是否存在潜在的网络安全事件的方法。通过捕获对 Amazon S3 桶提出的各种请求,对事件进行监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 为帮助在您的环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录 通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志会记录AWS WAF 从AWS资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 如果某个指标在指定数量的评估期内超出阈值,Amazon Amazon 会发出 CloudWatch 警报。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired (Config 默认值:True)、 insufficientDataAction必需(Config 默认值:True)、 okActionRequired (Config 默认值:False)的值。实际值应反映您环境的警报操作。 | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习列表,以标识您环境中意外的和未经授权的恶意活动。AWS | |
| d5.dr.de.b.3 | 检测、警报和触发事件响应计划的工具和流程已到位。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、优先优先处理优先处理优先处理优先处理优先处理来自多个AWS服务的安全告警或检查结果并确定优先级。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 | |
| d5.er.es.b.4 | 对事件进行分类、记录和跟踪。 | 亚马逊通过按严重程度对调查结果进行分类:低、中和高,来 GuardDuty 帮助您了解事件的影响。您可以使用这些分类来确定补救策略和优先级。此规则允许您根据组织策略的要求选择性地为非存档的调查结果设置 daysMediumSev (Config 默认值:30)、 daysHighSev (Config 默认值:7)和(Config 默认值:1)。 daysLowSev | |
| d5.ir.pl.b.1 | 该机构已经记录了它将如何应对和应对网络事件。 | response-plan-exists-maintained (过程检查) | 确保制定、维护事件响应计划并将其分发给负责人员。 |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于在同一 Amazon S3 桶中保留一个对象的多个变体。使用版本控制功能可保留、检索和还原存储在 Amazon S3 存储桶存储的每个对象的各个版本。版本控制可帮助您轻松从用户意外操作和应用程序故障中恢复。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon DynamoDB Auto Scaling 使用 AppAWS lication Auto Scaling 服务来标识您预置的吞吐容量,以自动响应 这样表或全局二级索引可以增加其预置读/写入容量以处理突发性,不会受到限制。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 可以实施冗余的Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN 连接不可用,它使用两个隧道来帮助确保连接。要避免因您的客户网关变得不可用而造成连接中断,您可使用第二个客户网关来为您的 Amazon VPC (Amazon Virtual Private Cloud VPC) 和虚拟私有网关设置第二个站点到站点 VPN 连接。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源,以满足吞吐量需求。当吞吐量接近客户账户的最大限制时,此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage (Config 默认值:80)和 accountWCUThresholdPercentage (Config 默认值:80)参数。实际值应反映贵组织的政策。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 启用Amazon Relational Database Service(Amazon RDS),以帮助 这样可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监控会收集每台设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每台设备的数据和辅助主机指标。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡,以帮助保持足够的容量和可用性。跨区域负载均衡可减少在每个已启用的可用区中维持相同数量实例的需求。它还提高应用程序处理一个或多个实例丢失情况的能力。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 确保Amazon Relational Database Service e(Amazon RDS)实例已启用删除保护。使用删除保护来防止 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序失去可用性。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 此规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或发送请求以测试 Amazon EC2 实例运行状况以测试 Amazon auto-scaling 2 实例运行状况。如果实例未报告,则流量将发送到新的 Amazon EC2 实例。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon Simple Storage Service (Amazon S3) age Service (CRR) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 桶自动、异步地复制对象,以帮助确保维持数据可用性。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为了帮助完成数据备份流程,请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为了帮助完成数据备份流程,请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为帮助完成数据备份流程,请确保将 Amazon Elastic Block Store (Amazon EBS) 卷作为BAWS ackup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon Relational Database Service (Amazon RDS) 中的多可用区支持可增强数据库实例的可用性和持久性 在您预置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行,并且经过精心设计,具有高度的可靠性。如果基础设施出现故障,Amazon RDS 会自动故障转移到备用服务器,这样您就可以在故障转移完成后立即恢复数据库操作。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例。该系统允许您设置特定的保留期以满足您的弹性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 此规则确保建立 Lambda 函数的并发上限和下限。这可以帮助确定您的函数在任何给定时间所服务的请求的数量的基准。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为了帮助完成数据备份流程,请确保您的 Amazon Aurora 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 为帮助完成数据AWS备份流程,请确保您的Backup 恢复点设置了最短保留期。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays (默认配置:35)参数。实际价值应反映贵组织的需求。 | |
| d5.ir.pl.b.6 | 该机构计划在事件发生后使用业务连续性、灾难恢复和数据备份程序来恢复运营。 | 要帮助完成数据备份流程,请确保您的 Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。 |
模板
该模板可在以下网址找到 GitHub:FFIEC 操作最佳实践
