NERC CIP BCSI 运营最佳实践 - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

NERC CIP BCSI 运营最佳实践

Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。

以下内容提供了北美电气可靠性公司关键基础设施保护标准 (NERC CIP) BES 网络系统信息 (BCSI)、CIP-004-7 和 CIP-011-3 与AWS Config托管规则之间的映射示例。每条AWS Config 规则都适用于特定AWS资源,并与适用于 BCSI 的一个或多个 NERC CIP 控制相关。NERC CIP 控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。

AWS 区域: 除了(美国东部)、AWS GovCloud (美国西部)和中东AWS GovCloud (巴林)之外的所有支持一致性包AWS 区域的地方(区域支持

控制 ID 控件描述 AWS Config 规则 指导
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

opensearch-access-control-enabled

确保为您的Amazon Service (Amazon Serv OpenSearch ice) 启用精细访问控制。精细的访问控制提供了增强的授权机制,以实现对亚马逊 OpenSearch 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级安全,支持 OpenSearch 仪表板多租户,以及 OpenSearch 和 Kibana 的 HTTP 基本身份验证。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的手段。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

iam-group-has-users-检查

AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

iam-policy-no-statements-with-admin-access

AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

iam-root-access-key-检查

通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

iam-user-group-membership-检查

AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

iam-user-no-policies-检查

此规则确保仅将IAWS dentity and Access Management (IAM) 策略附加到群组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

s3-bucket-public-read-prohibited

通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。访问管理应与数据的分类保持一致。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

s3-bucket-public-write-prohibited

通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。访问管理应与数据的分类保持一致。
cip-004-7-r6-第 6.1 部分 每个责任实体应实施一个或多个记录在案的访问管理计划,以授权、验证和撤销与 CIP-004-7 表 R6 — BES 网络系统信息的访问管理中确定的 “适用系统” 相关的 BCSI 的预置访问权限,这些系统共同包括 CIP-004-7 表 R6 — BES 网络系统信息的访问管理。在本要求的背景下,个人既有能力获得BCSI,又有能力使用 BCSI,才能被视为访问BCSI。设置的访问权限应被视为为向个人提供访问 BCSI 的手段而采取的具体操作的结果(例如,可能包括物理密钥或访问卡、用户和相关权限和特权、加密密钥)。第 6.1 部分:在配置之前,根据需要进行授权(除非已根据第 4.1 部分获得授权),由责任实体确定,CIP 特殊情况除外:6.1.1。提供对电子 BCSI 的电子访问权限

s3-bucket-policy-grantee-check

启用 s3_ bucket_policy_grantee_check 来管理对AWS云的访问权限。该规则检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

dms-replication-not-public

通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

ebs-snapshot-public-restorable-检查

通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

iam-user-unused-credentials-检查

AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

lambda-function-public-access-禁止

通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

rds-instance-public-access-检查

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,管理对AWS云中的资源的访问。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,管理对AWS云中的资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

redshift-cluster-public-access-检查

通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

s3-account-level-public-access-区块-周期性

通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

sagemaker-notebook-no-direct-互联网接入

通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

acm-certificate-expiration-check

通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

alb-http-drop-invalid-启用标头

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

alb-http-to-https-重定向检查

为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

api-gw-cache-enabled并已加密

为了帮助保护静态数据,请确保为您的 API Gateway 阶段的缓存启用了加密。由于可以捕获 API 方法的敏感数据,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

cloud-trail-encryption-enabled

由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail跟踪启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

cloudwatch-log-group-encrypted

为帮助保护静态敏感数据,请确保对您的亚马逊 CloudWatch 日志组启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

cmk-backing-key-rotation-启用

启用密钥轮换,确保密钥在加密周期结束后轮换。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

dynamodb-table-encrypted-kms

确保为您的Amazon DynamoDB 表启用加密。由于敏感数据可能静态存在于这些表中,因此启用静态加密以帮助保护这些数据。默认情况下,DynamoDB 表使用自身的客户AWS主密钥 (CMK) 加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

ecr-private-image-scanning-启用

Amazon Elastic Container Storage (ECR) 映像扫描有助于识别容器映像中的软件漏洞。在 ECR 存储库上启用图像扫描可为所存储图像的完整性和安全性增加一层验证。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

ecr-private-tag-immutability-启用

启用弹性容器存储库 (ECR) 标签不可变性以防止 ECR 映像上的图像标签被覆盖。以前,标签可能会被覆盖,需要手动方法来唯一地识别图像。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

ecs-containers-readonly-access

启用对 Amazon 弹性容器服务 (ECS) 容器的只读访问权限有助于遵守最低权限原则。此选项可以减少攻击向量,因为除非容器实例具有明确的读写权限,否则无法修改容器实例的文件系统。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

efs-encrypted-check

由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

elasticsearch-encrypted-at-rest

由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

elasticsearch-node-to-node-加密检查

确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密启用 TLS 1.2 加密,您可以在 Amazon Virtual Private Cloud (Amazon VPC 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

elb-acm-certificate-required

由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

elb-tls-https-listeners-仅限

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

加密卷

由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

kinesis-stream-encrypted

由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Kinesis Streams 启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

kms-cmk-not-scheduled-用于删除

为帮助保护静态数据,请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥是无意中安排的。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-audit-logging-enabled

确保在您的亚马逊 OpenSearch服务域上启用了审计日志记录。审核日志记录允许您跟踪用户在您的 OpenSearch 域上的活动,包括身份验证成功和失败、发送的请求 OpenSearch、索引更改以及传入的搜索查询。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 表 R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-encrypted-at-rest

由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-https-required

由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为与您的亚马逊 OpenSearch 服务域的连接启用 HTTPS。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-in-vpc-only

通过确保AmazonAWS OpenSearch Service Service(Amazon VPC)内部,管理对云的访问。Amazon OpenSearch VPC 中的Amazon Service Service Service Service OpenSearch 和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-logs-to-cloudwatch

确保 Amazon Serv OpenSearch ice 域启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

opensearch-node-to-node-加密检查

确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密启用 TLS 1.2 加密,您可以在 Amazon Virtual Private Cloud (Amazon VPC 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密性风险的方法。

rds-snapshot-encrypted

确保为您的亚马逊Relational Database Service (Amazon RDS) 快照启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

rds-storage-encrypted

为了帮助保护静态数据,请确保为您的Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

redshift-audit-logging-enabled

要捕获有关 Amazon Redshift 集群上的连接和用户活动的信息,请确保启用审核日志记录。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

redshift-cluster-configuration-check

要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3bucket-server-side-encryption-已启用

为了帮助保护静态数据,请确保为您的Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要使用安全套接字层 (SSL) 的请求。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3-default-encryption-kms

确保为您的Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3-event-notifications-enabled

Amazon S3 事件通知可以提醒相关人员注意对您的存储桶对象的任何意外或故意修改。示例警报包括:正在创建新对象、移除对象、恢复对象、丢失和复制的对象。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3-lifecycle-policy-check

确保 Amazon S3 生命周期策略配置为有助于定义您希望 Amazon S3 在对象的生命周期内执行的操作(例如,将对象转化为另一个存储类别、检索它们或在指定时期后删除它们)。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

sagemaker-endpoint-configuration-kms-密钥配置

为帮助保护静态数据,请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

sagemaker-notebook-instance-kms-密钥配置

为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

rds-cluster-default-admin-检查

由于默认用户名是众所周知的,因此更改默认用户名有助于减少您的Amazon Relational Database Service (Amazon RDS) 数据库集群的攻击面。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

rds-instance-default-admin-检查

由于默认用户名是众所周知的,因此更改默认用户名有助于减少您的Amazon Relational Database Service (Amazon RDS) 数据库实例的攻击面。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

redshift-default-admin-check

由于默认用户名是众所周知的,因此更改默认用户名有助于减少 Amazon Redshift 集群的攻击面。
cip-011-3-r1-第 1.2 部分 每个责任实体应实施一项或多项记录在案的信息保护计划,这些计划共同包括 CIP-011-3 Table R1 — 信息保护中的每个适用要求部分。第 1.2 部分:保护和安全处理 BCSI 以降低泄露机密风险的方法。

s3-bucket-acl-prohibited

此规则检查访问控制列表 (ACL) 是否用于 Amazon S3 存储桶的访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制,早于IdentAWS ity and Access Management (IAM)。最佳做法是使用 IAM 策略或 S3 存储桶策略来更轻松地管理 S3 存储桶的访问权限,而不是 ACL。

模板

该模板可在以下网址找到 GitHub:NERC CIP BCSI 的操作最佳实践