本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
《格雷姆-里奇-布里利法案》(GLBA) 操作最佳实践
合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规性标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
下面提供了《格雷姆-里奇-布里利法案》(GLBA) 与 AWS 托管 Config 规则之间的映射示例。每条 Config 规则都适用于特定的 AWS 资源,并与一个或多个 GLBA 控制相关。一个 GLBA 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
|---|---|---|---|
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保互联网网关仅连接到经过授权的 Amazon Virtual Private Cloud (Amazon VPC),来管理对 AWS 云中资源的访问。互联网网关允许进出 Amazon VPC 的双向互联网访问,这可能会导致未经授权访问 Amazon VPC 资源。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。 | |
| GLBA-SEC.501(b) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准。 | 通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可能会为 API 方法捕获敏感数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组启用了加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service (OpenSearch Service) 域启用了加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于 Amazon RDS 实例中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保您的 SageMaker 终端节点启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 端点中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保您的 SageMaker 笔记本启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 笔记本中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于已发布的消息中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保为 Amazon DynamoDB 表启用加密。由于这些表中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。默认情况下,DynamoDB 表使用 AWS 拥有的客户主密钥 (CMK) 进行加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保您的 AWS Backup 恢复点已启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态敏感数据,请确保对存储在 Amazon S3 中的 AWS CodeBuild 日志启用加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 为了帮助保护静态敏感数据,请确保为 AWS CodeBuild 构件启用加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service 域启用了加密。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| GLBA-SEC.501(b)(1) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (1) 以确保客户记录和信息的安全性和保密性; | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Kinesis Streams 启用了加密。 | |
| GLBA-SEC.501(b)(2) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (2) 以保护这些记录的安全性或完整性免受任何预期的威胁或危害;以及 | Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。 | |
| GLBA-SEC.501(b)(2) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (2) 以保护这些记录的安全性或完整性免受任何预期的威胁或危害;以及 | AWS Security Hub 有助于监控未经授权的人员、连接、设备和软件。AWSSecurity Hub 可以聚合、组织和优先处理来自多个 AWS 服务的安全告警或结果。其中一些服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager 和 AWS 合作伙伴解决方案。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 此规则可确保 AWS Secrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的有效期,并有可能减少机密泄露时对业务的影响。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 通过确保按照组织政策轮换 IAM 访问密钥,对授权的设备、用户和流程的凭证进行审核。定期更改访问密钥是一种安全最佳实践。它会缩短访问密钥的有效期,并降低密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映贵组织的策略。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您为 IAM 密码策略选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | AWS Identity and Access Management (IAM) 可以通过检查指定时间段内未使用的 IAM 密码和访问密钥,来帮助您获得访问权限和授权。如果发现这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能违反最低权限原则。此规则要求您为 maxCredentialUsageAge 设置一个值(Config 默认值:90)。实际值应反映贵组织的策略。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 通过启用 s3_ bucket_policy_grantee_check 来管理对 AWS 云的访问权限。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 确保 IAM 操作仅限于需要的那些操作。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 通过确保为所有拥有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA,来管理对 AWS 云中资源的访问。MFA 在登录凭证之上添加一层额外的保护。通过要求用户进行 MFA,您可以减少账户被盗事件,防止未经授权的用户访问敏感数据。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 确保在 Amazon OpenSearch Service 域中启用精细访问控制。精细访问控制提供增强的授权机制,以实现对 Amazon OpenSearch Service 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级别的安全性,支持 OpenSearch Service 控制面板多租户,以及 OpenSearch Service 和 Kibana 的 HTTP 基本身份验证。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 启用对 Amazon Elastic Container Service (ECS) 容器的只读访问有助于遵守最低权限原则。此选项可以减少攻击载体,因为除非容器实例具有明确的读写权限,否则无法修改其文件系统。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 为 Amazon Elastic File System (Amazon EFS) 接入点强制使用根目录可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。 | |
| GLBA-SEC.501(b)(3) | 为了推进 (a) 款中的政策,第 505(a) 款中描述的每个机构或部门都应为其管辖范围内的金融机构制定与行政、技术和物理保障措施有关的适当标准 (3) 以防止未经授权访问或使用此类记录或信息,从而可能给任何客户造成重大伤害或不便;以及 | 为了帮助实施最低权限原则,请确保为您的 Amazon Elastic File System (Amazon EFS) 启用用户强制执行。启用后,Amazon EFS 会将 NFS 客户端的用户和组 ID 替换为接入点上为所有文件系统操作配置的身份,并只向此强制用户身份授予访问权限。 |
模板
该模板可在 GitHub 上找到:《格雷姆-里奇-布里利法案》(GLBA) 操作最佳实践
