本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
NERC CIP BCSI 操作最佳实践
合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规性标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
下面提供了北美电力可靠性公司针对 BES 网络系统信息 (BCSI)、CIP-004-7 和 CIP-011-3 的关键基础设施保护标准 (NERC CIP) 与 AWS Config 托管规则之间的映射示例。每条 AWS Config 规则都适用于特定的 AWS 资源,并与一个或多个适用于 BCSI 的 NERC CIP 控制相关。一个 NERC CIP 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
|---|---|---|---|
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 确保在 Amazon OpenSearch Service 域中启用精细访问控制。精细访问控制提供增强的授权机制,以实现对 Amazon OpenSearch 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级别的安全性,支持 OpenSearch 控制面板多租户,以及 OpenSearch 和 Kibana 的 HTTP 基本身份验证。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最低权限和职责分离的原则管理和纳入访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为委托人提供一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| CIP-004-7-R6-Part 6.1 | 每个责任实体均应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中确定的“适用系统”有关的 BCSI 的预置访问权限,这些计划共同包括 CIP-004-7 表 R6“BES 网络系统信息的访问管理”中的每个适用要求部分。根据这一要求,个人必须同时具备获取和使用 BCSI 的能力,才能被视为能够访问 BCSI。预置访问权限应视为为个人提供访问 BCSI 的手段而采取的具体行动的结果(例如,可包括物理钥匙或访问卡、用户及相关权利和特权、加密密钥)。第 6.1 部分:在配置之前,根据责任实体确定的需要进行授权(除非已根据第 4.1 部分授权),但“CIP 特殊情况:6.1.1”除外。提供对电子 BCSI 的电子访问权限 | 通过启用 s3_ bucket_policy_grantee_check 来管理对 AWS 云的访问权限。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | AWS Identity and Access Management (IAM) 可以通过检查指定时间段内未使用的 IAM 密码和访问密钥,来帮助您获得访问权限和授权。如果发现这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能违反最低权限原则。此规则要求您为 maxCredentialUsageAge 设置一个值(Config 默认值:90)。实际值应反映贵组织的策略。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 X509 证书由 AWS ACM 颁发,确保网络完整性得到保护。这些证书必须有效且未过期。此规则要求为 daysToExpiration 设置一个值(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为帮助保护传输中的数据,请确保应用负载均衡器自动将未加密的 HTTP 请求重定向到 HTTPS。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可能会为 API 方法捕获敏感数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 启用密钥轮换,以确保密钥在加密周期结束后立即进行轮换。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保为 Amazon DynamoDB 表启用加密。由于这些表中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。默认情况下,DynamoDB 表使用 AWS 拥有的客户主密钥 (CMK) 进行加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | Amazon Elastic Container Repository (ECR) 映像扫描可帮助识别容器映像中的软件漏洞。在 ECR 存储库中启用映像扫描功能可为所存储映像的完整性和安全性增加一层验证。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 启用 Elastic Container Repository (ECR) 标签不可变性,以防止 ECR 映像上的映像标签被覆盖。以前,标签可能会被覆盖,需要手动方法来唯一识别映像。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 启用对 Amazon Elastic Container Service (ECS) 容器的只读访问有助于遵守最低权限原则。此选项可以减少攻击载体,因为除非容器实例具有明确的读写权限,否则无法修改其文件系统。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service (OpenSearch Service) 域启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护传输中的数据,应确保 Elastic Load Balancing 启用了加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Kinesis Streams 启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保没有在 AWS Key Management Service (AWS KMS) 中计划删除必要的客户主密钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥被无意中安排删除。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service 域启用了加密。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于可能存在敏感数据,并且为了帮助保护传输中数据,应确保为与您的 Amazon OpenSearch Service 域的连接启用 HTTPS。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于 Amazon RDS 实例中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 要捕获有关您的 Amazon Redshift 集群上的连接和用户活动的信息,请确保已启用审计日志记录。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | Amazon S3 事件通知可以提醒相关人员注意对您的存储桶对象的任何意外或故意修改。示例警报包括:创建了新对象、对象移除、对象恢复、丢失和复制的对象。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 确保配置了 Amazon S3 生命周期策略,以帮助定义您希望 Amazon S3 在对象生命周期内采取的操作(例如,将对象过渡到其他存储类、将其存档或在指定时间后删除)。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保您的 SageMaker 终端节点启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 端点中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保您的 SageMaker 笔记本启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 笔记本中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于已发布的消息中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Relational Database Service (Amazon RDS) 数据库集群的攻击面。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Relational Database Service (Amazon RDS) 数据库实例的攻击面。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Redshift 集群的攻击面。 | |
| CIP-011-3-R1-Part 1.2 | 每个责任实体应实施一个或多个记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1“信息保护”中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄密风险的方法。 | 此规则检查访问控制列表 (ACL) 是否用于对 Amazon S3 存储桶进行访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制,早于 AWS Identity and Access Management (IAM)。最佳实践是使用 IAM 策略或 S3 存储桶策略来更轻松地管理对 S3 存储桶的访问权限,而不是使用 ACL。 |
模板
该模板可在 GitHub 上找到:NERC CIP BCSI 操作最佳实践
