本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PCI DSS 的操作最佳实践 3.2.1
Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。
以下提供了支付支付调用的标准 (PCI IAWS 每AWS Config条规则适用于特定AWS资源,并与一个或多个 PCI DSS 控制相关。PCI DSS 控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
AWS 区域:除了(美国东部)、(美国西部)、南美洲(圣保罗)和中东AWS GovCloud (巴林),所有支持一致性包AWS 区域的地方AWS GovCloud (区域支持),但除了(美国东部)、(美国西部)、南美洲(圣保罗)和中东(巴林)
| 控制 ID | 控件描述 | AWSConfig 规则 | 指导 |
|---|---|---|---|
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.2.1 | 将入站和出站流量限制在持卡人数据环境所需的范围内,并特别拒绝所有其他流量。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共端点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.3 | 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不公开,来管理对AWS云端资源的访问权限。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.3.1 | 实施 DMZ,将入站流量限制为仅提供授权可公开访问的服务、协议和端口的系统组件。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.3.2 | 将入站互联网流量限制在 DMZ 内的 IP 地址。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.3.4 | 不要允许未经授权的出站流量从持卡人数据环境流向互联网。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保亚马逊 OpenSearch OpenSearch 服务(AWSService)域在 Amazon Virtual Private Cloud(Amazon VPC)中来管理云的访问权限。通过在 Amazon VPC 中的Service 域,您可以在 Service 和 Amazon VPC 中的其他 OpenSearch 服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 OpenSearch | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | AWSNetwork Firewall 策略定义您的防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来过滤数据包和流量,并定义默认流量处理。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | AWSNetwork Firewall 规则组包含定义防火墙如何处理 VPC 中流量的规则。如果防火墙策略中存在空的无状态规则组,则不处理流量。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保Amazon Serv OpenSearch ice DateAWS Cloud (Amazon VPC) 内的 Amazon Service Date Cloud 通过在 A OpenSearch mazon VPC 中的亚马逊Service 域,您可以在 A OpenSearch mazon Service 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 1.3.6 | 将存储持卡人数据(例如数据库)的系统组件置于内部网络区域中,与 DMZ 和其他不可信网络隔离。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于减少您的Amazon Relational Database Service (Amazon RDS) 数据库集群的攻击面。 | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于减少您的Amazon Relational Database Service (Amazon RDS) 数据库实例的攻击面。 | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | 由于默认用户名是众所周知的,因此更改默认用户名有助于减少 Amazon Redshift 集群的攻击面。 | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | 默认名称是众所周知的,应在配置时更改。更改 Amazon Redshift 集群的默认数据库名称有助于减少 Redshift 集群的攻击面。 | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认值并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、 point-of-sale (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保 IAM 访问密钥按照组织政策轮换,对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间,并减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致,这可能会暴露资源和敏感数据。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 启用密钥轮换,确保密钥在加密周期结束后轮换。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 此规则检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例是否有多个 ENI。拥有多个 ENI 可能会导致双宿主实例,即具有多个子网的实例。这可能会增加网络安全的复杂性,并引入非预期的网络路径和访问权限。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:'艾美因特网安全中心 (CIS) '艾美尼亚国际标准化组织 (ISO) ' SysAdmin A'Appait 网络安全 (SANS) 研究所 'A◇美国国家标准技术研究所 (NIST)。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 此规则可确保安全组连接到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中未使用的安全组和环境管理。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 由于敏感数据可能存在,并且为了帮助保护静态数据,请确保对 Amazon Elastic Block Store (Amazon EBS) 卷的加密。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 此规则可确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:'艾美因特网安全中心 (CIS) '艾美尼亚国际标准化组织 (ISO) ' SysAdmin A'Appait 网络安全 (SANS) 研究所 'A◇美国国家标准技术研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动、异步地复制对象,以帮助确保数据可用性。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要调用的请求才能使用安全套接字层 (SSL) 存储桶。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 2.2 | 为所有系统组件制定配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。行业认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • SysAdmin 审计网络安全 (SANS) 研究所 • 国家标准技术研究所 (NIST)。 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。不允许资源上的 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 到端口 22,有助于限制远程访问。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问,因为这可能允许意外访问您的应用程序或服务器。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 EBS 快照不可公开恢复,管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例,来管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过在Amazon Virtual Private Cloud(Amazon VPC)中部署 Amazon Elastic Compute Cloud (Amazon VPC) 中的实例,您可以在实例和 Amazon VPC 中的其他服务之间进行安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保AWS Lambda 函数无法公开访问,管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数,以在 Amazon VPC 中实现函数与其他服务之间的安全通信。使用此配置,不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离,驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限,应AWS将 Lambda 函数分配给 VPC。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon RelationAWS al Database Service (Amazon RDS) 实例调用了。Amazon RDS 数据库实例可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon Redshift 集群不公开,管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则,此类账户需要访问控制。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(Config 默认值:20,213389,3306,4333)。实际值应反映贵组织的政策。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过仅允许授权用户、流程和设备访问 Amazon Simpple Storage Service (Amazon S3) 存储桶,管理AWS云中资源的访问权限。访问管理应与数据的分类保持一致。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网,管理对AWS云端资源的访问权限。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 确保SAWS ystems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出站网络流量进行状态过滤,来帮助管理网络访问权限。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 2.2.2 | 根据系统功能的需要,仅启用必要的服务、协议、守护程序等。 | 通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组中的通用端口,管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. | |
| 2.2.3 | 为任何被认为不安全的必需服务、协议或守护程序实现额外的安全功能。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 2.3 | 使用强加密技术加密所有非控制台管理访问权限。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 2.3 | 使用强加密技术加密所有非控制台管理访问权限。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| 2.3 | 使用强加密技术加密所有非控制台管理访问权限。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 2.3 | 使用强加密技术加密所有非控制台管理访问权限。 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为与您的亚马逊 OpenSearch 服务域的连接启用 HTTPS。 | |
| 2.3 | 使用强加密技术加密所有非控制台管理访问权限。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 2.4 | 保存 PCI DSS 范围内的系统组件清单。 | 此规则可确保安全组连接到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中未使用的安全组和环境管理。 | |
| 2.4 | 保存 PCI DSS 范围内的系统组件清单。 | 此规则确保分配给 Amazon Virtual Private Cloud (Amazon EC2) 实例或正在使用的弹性网络接口的弹性 IP。此规则有助于监控环境中未使用的 EIP。 | |
| 2.4 | 保存 PCI DSS 范围内的系统组件清单。 | 通过使用 SSAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织内的软件平台和应用程序。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。 | |
| 2.4 | 保存 PCI DSS 范围内的系统组件清单。 | 此规则可确保 Amazon Virtual Private Cloud (VPC) 网络访问控制列表处于使用中。监控未使用的网络访问控制列表有助于准确清点和管理您的环境。 | |
| 3.1 | 通过实施数据保留和处置政策、程序和流程,将持卡人数据存储降至最低,这些政策、程序和流程至少包括以下内容:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 持卡人数据的特定保留要求 • 不再需要时安全删除数据的流程 • 识别和安全删除超过规定保留期的持卡人数据的季度流程。 | 确保通过在对象的生命周期内部署 Amazon S3 生命周期策略,您可以在 Amazon S3 在对象的生命周期内执行的操作(例如,将对象转化为另一个存储类别、检索它们或在指定时期后删除它们)。 | |
| 3.1 | 通过实施数据保留和处置政策、程序和流程,将持卡人数据存储降至最低,这些政策、程序和流程至少包括以下内容:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 持卡人数据的特定保留要求 • 不再需要时安全删除数据的流程 • 识别和安全删除超过规定保留期的持卡人数据的季度流程。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 3.1 | 通过实施数据保留和处置政策、程序和流程,将持卡人数据存储降至最低,这些政策、程序和流程至少包括以下内容:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 持卡人数据的特定保留要求 • 不再需要时安全删除数据的流程 • 识别和安全删除超过规定保留期的持卡人数据的季度流程。 | 为帮助完成数据AWS备份流程,请确保您的Backup 恢复点设置了最短保留期。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays (默认配置:35)参数。实际价值应反映贵组织的需求。 | |
| 3.1 | 通过实施数据保留和处置政策、程序和流程,将持卡人数据存储降至最低,这些政策、程序和流程至少包括以下内容:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 持卡人数据的特定保留要求 • 不再需要时安全删除数据的流程 • 识别和安全删除超过规定保留期的持卡人数据的季度流程。 | 启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,该集群会从最新的备份中恢复数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为帮助保护静态敏感数据,请确保对您的亚马逊 CloudWatch 日志组启用加密。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 由于敏感数据可能存在,并且为了帮助保护静态数据,请确保对 Amazon Elastic Block Store (Amazon EBS) 卷的加密。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 确保已为 Amazon Relational Database Service (Amazon RDS) 快照启用 由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 要帮助保护静态数据,请确保对于 Amazon Relational Database Service (Amazon RDS) 实例的加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 确保您的亚马逊Simp策略已启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为帮助保护静态数据,请确保为您的 SageMaker 终端节点启用AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| 3.4 | 使用以下任一方法使 PAN 在存储的任何地方(包括便携式数字媒体、备份媒体和日志中)都不可读:• 基于强加密的单向哈希(哈希必须是整个 PAN 的哈希)• 截断(哈希不能用于替换 PAN 的截断段)• 索引令牌和 pad(必须安全存储 pad)• 具有相关密钥管理过程和程序的强加密。注意:对于恶意个人来说,如果他们可以访问截断版本和哈希版本的 PAN,则重建原始 PAN 数据是一项相对微不足道的工作。如果实体环境中存在同一 PAN 的哈希和截断版本,则必须采取额外的控制措施,以确保无法关联哈希和截断版本来重建原始 PAN。 | 为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。 | |
| 3.5.2 | 将访问加密密钥的权限限制在必要的最少数量的托管人身上。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有密AWS钥管理服务密钥的阻止操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 3.5.2 | 将访问加密密钥的权限限制在必要的最少数量的托管人身上。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 3.5.3 | 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的密钥和私钥:• 使用密钥加密密钥加密,该密钥的强度至少与数据加密密钥一样强,与数据加密密钥分开存储 • 在安全的加密设备中(例如硬件(主机)安全模块 (HSM) 或 PTS 批准的 point-of-interaction 设备)全长密钥组件或密钥共享,符合行业公认的方法注意:不要求将公钥存储在以下任一中这些表格。 | 确保您的亚马逊Simp策略已启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 3.5.3 | 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的密钥和私钥:• 使用密钥加密密钥加密,该密钥的强度至少与数据加密密钥一样强,与数据加密密钥分开存储 • 在安全的加密设备中(例如硬件(主机)安全模块 (HSM) 或 PTS 批准的 point-of-interaction 设备)全长密钥组件或密钥共享,符合行业公认的方法注意:不要求将公钥存储在以下任一中这些表格。 | 为帮助保护静态数据,请确保为您的 SageMaker 终端节点启用AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| 3.5.3 | 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的密钥和私钥:• 使用密钥加密密钥加密,该密钥的强度至少与数据加密密钥一样强,与数据加密密钥分开存储 • 在安全的加密设备中(例如硬件(主机)安全模块 (HSM) 或 PTS 批准的 point-of-interaction 设备)全长密钥组件或密钥共享,符合行业公认的方法注意:不要求将公钥存储在以下任一中这些表格。 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| 3.6.4 | 根据关联应用程序供应商或密钥所有者的定义,并基于行业最佳实践和指南(例如,在定义的时间段过后和/或在给定密钥生成一定数量的密文之后)的密钥的加密密钥更改(例如,NIST 特别出版物 800-57)。 | 启用密钥轮换,确保密钥在加密周期结束后轮换。 | |
| 3.6.5 | 当密钥的完整性受到削弱(例如,知道明文密钥组件的员工离职)或怀疑密钥被泄露时,视需要停用或替换密钥(例如,存档、销毁和/或撤销)。注意:如果需要保留停用或替换的加密密钥,则必须对这些密钥进行安全存档(例如,使用密钥加密密钥)。存档的加密密钥只能用于解密/验证目的。 | 为帮助保护静态数据,请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥是无意中安排的。 | |
| 3.6.7 | 防止未经授权替换加密密钥。 | 为帮助保护静态数据,请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥是无意中安排的。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration (AWS基础安全最佳实践值:90)。实际价值应反映贵组织的政策。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密支持对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信进行 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 由于敏感数据可能存在并且为了帮助保护传输中的数据,请确保为与您的亚马逊 OpenSearch 服务域的连接启用 HTTPS。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 确保启用亚马逊 OpenSearch 服务的 node-to-node 加密。Node-to-node 加密支持对Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信进行 TLS 1.2 由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 4.1 | 在通过开放的公共网络传输期间,使用强大的加密和安全协议保护持卡人的敏感数据,包括:• 仅接受可信密钥和证书。• 正在使用的协议仅支持安全版本或配置。• 加密强度适用于所使用的加密方法。开放公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要调用的请求才能使用安全套接字层 (SSL) 存储桶。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | 为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | 使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | 启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | AWSFargate a 任务的安全更新和修补程序将自动部署。如果发现影响AWS Fargate 平台版本的安全问题,请AWS修补平台版本。为了帮助对运行AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务进行补丁管理,请更新您的服务独立任务以使用最新的平台版本。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | 在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 6.2 | 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。 | 此规则确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow (默认值为星期六:16:00-sat:16:30)和 automatedSnapshotRetention时段(默认值为 1)。实际值应反映贵组织的政策。 | |
| 6.3.2 | 在发布给生产或客户之前审查自定义代码,以识别任何潜在的编码漏洞(使用手动或自动流程),至少包括以下内容:• 代码更改由原始代码作者以外的个人以及了解代码审查技术和安全编码实践的人员进行审查。• 代码审查确保代码是根据安全编码指南开发的 • 在发布之前进行适当的更正。• 代码审查结果在发布前由管理层审查和批准。(在下一页继续) | Amazon Elastic Conatabase Relastic Relastic Relastic Relastic Relastic Re 在 ECR 存储库上启用图像扫描可为所存储图像的完整性和安全性增加一层验证。 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | 为帮助保护应用程序免受 HTTP Desync 漏洞,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括 “监控”、“监控”、“防御”、“监控”、“ 防御模式是默认模式。 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | 确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中的过多资源。 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | AWS通过在 WAF 中,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则和您定义的条件,允许、阻止或计数 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联,以保护其免受恶意攻击 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | 确保您的AWS WAF 的规则不为空。没有条件的规则可能会导致意想不到的行为。 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | 确保您的AWS WAF 的规则组不为空。规则组为空可能会导致意外行为。 | |
| 6.6 | 对于面向公众的 Web 应用程序,持续应对新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次,并在进行任何更改后注意:此评估与针对要求 11.2 进行的漏洞扫描不同。• 安装自动技术解决方案,在面向公众的 Web 应用程序面前检测和防止基于 Web 的攻击(例如,Web 应用程序防火墙),持续检查所有流量。 | 附加到AWS WAF 的 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则 Web 流量不会被 WAF 检测到或采取任何行动。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 为了帮助实现最小权限原则,请确保指定非根用户访问您的 Amazon Elastic Container Service (Amazon ECS) 任务定义。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 此规则检查访问控制列表 (ACL) 是否用于对 Amazon S3 存储桶进行访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制 (IAM) 之前AWS的 Amazon S3 存储桶的访问控制机制。最佳做法是使用 IAM 策略或 S3 存储桶策略来更轻松地管理 S3 存储桶的访问权限,而不是 ACL。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 为了帮助实现最小权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 启用对 Amazon 弹性容器服务 (ECS) 容器的只读访问权限有助于遵守最低权限原则。此选项可以减少攻击向量,因为除非容器实例具有明确的读写权限,否则无法修改容器实例的文件系统。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 为 Amazon Elastic File System (Amazon EFS) 接入点强制设置根目录,可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 为帮助实现最小权限原则,请确保为您的 Amazon Elastic 文件系统 (Amazon EFS) 启用用户强制功能。启用后,Amazon EFS 将 NFS 客户端的用户和群组 ID 替换为在接入点上为所有文件系统操作配置的身份,并且仅授予对这种强制用户身份的访问权限。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerba 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有密AWS钥管理服务密钥的阻止操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 此规则可确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 7.1.1 | 定义每个角色的访问需求,包括:• 每个角色需要访问其工作职能所需的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。 | 确保您的亚马逊 OpenSearch 服务域启用精细访问控制。精细的访问控制提供了增强的授权机制,以实现对 Amazon Serv OpenSearch ice 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级安全,支持 OpenSearch 服务仪表板的多租户,以及对 Service 和 Kibana 的 OpenSearch HTTP 基本身份验证。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有密AWS钥管理服务密钥的阻止操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.1.2 | 将对特权用户 ID 的访问限制为履行工作职责所需的最低权限。 | 此规则可确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 为了帮助实现最小权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 启用对 Amazon 弹性容器服务 (ECS) 容器的只读访问权限有助于遵守最低权限原则。此选项可以减少攻击向量,因为除非容器实例具有明确的读写权限,否则无法修改容器实例的文件系统。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 为 Amazon Elastic File System (Amazon EFS) 接入点强制设置根目录,可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 为帮助实现最小权限原则,请确保为您的 Amazon Elastic 文件系统 (Amazon EFS) 启用用户强制功能。启用后,Amazon EFS 将 NFS 客户端的用户和群组 ID 替换为在接入点上为所有文件系统操作配置的身份,并且仅授予对这种强制用户身份的访问权限。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerba 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有密AWS钥管理服务密钥的阻止操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 此规则可确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 7.2.1 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。此访问控制系统必须包括以下内容:覆盖所有系统组件 | 确保您的亚马逊 OpenSearch 服务域启用精细访问控制。精细的访问控制提供了增强的授权机制,以实现对 Amazon Serv OpenSearch ice 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级安全,支持 OpenSearch 服务仪表板的多租户,以及对 Service 和 Kibana 的 OpenSearch HTTP 基本身份验证。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 为了帮助实现最小权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 启用对 Amazon 弹性容器服务 (ECS) 容器的只读访问权限有助于遵守最低权限原则。此选项可以减少攻击向量,因为除非容器实例具有明确的读写权限,否则无法修改容器实例的文件系统。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 为 Amazon Elastic File System (Amazon EFS) 接入点强制设置根目录,可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 为帮助实现最小权限原则,请确保为您的 Amazon Elastic 文件系统 (Amazon EFS) 启用用户强制功能。启用后,Amazon EFS 将 NFS 客户端的用户和群组 ID 替换为在接入点上为所有文件系统操作配置的身份,并且仅授予对这种强制用户身份的访问权限。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 通过为 Amazon EMR 集群启用 Kerberos,可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域中,Kerba 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略包含对所有密AWS钥管理服务密钥的阻止操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns 参数。(AWS基础安全最佳实践值:kms: Decrypt,kms:ReEncryptFrom)。实际值应反映贵组织的政策。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 此规则可确保IdAWS entity and Access Management (IAM) 策略仅附加到群组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 7.2.2 | 为系统组件建立访问控制系统,该系统根据用户的需要来限制访问权限,除非特别允许,否则将其设置为 “全部拒绝”。该出入控制系统必须包括以下内容:根据工作分类和职能向个人分配权限。 | 确保您的亚马逊 OpenSearch 服务域启用精细访问控制。精细的访问控制提供了增强的授权机制,以实现对 Amazon Serv OpenSearch ice 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级安全,支持 OpenSearch 服务仪表板的多租户,以及对 Service 和 Kibana 的 OpenSearch HTTP 基本身份验证。 | |
| 7.2.3 | 默认 “全部拒绝” 设置。 | 此规则检查访问控制列表 (ACL) 是否用于对 Amazon S3 存储桶进行访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制 (IAM) 之前AWS的 Amazon S3 存储桶的访问控制机制。最佳做法是使用 IAM 策略或 S3 存储桶策略来更轻松地管理 S3 存储桶的访问权限,而不是 ACL。 | |
| 8.1.1 | 在允许所有用户访问系统组件或持卡人数据之前,为他们分配一个唯一的 ID。 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 8.1.4 | 在 90 天内删除/禁用不活跃的用户帐户。 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为了帮助实现最小权限原则,请确保您的 Amazon CodeBuild 项目环境未启用特权模式。应禁用此设置,以防止意外访问 Docker API 以及容器的底层硬件。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 作为安全最佳实践,将敏感信息作为环境变量传递给容器。您可以通过引用存储在 Amazon ECS 任务定义的容器定义中的AWS系统管理器参数存储或AWS密钥管理器中的值,将数据安全地注入到您的 Amazon Elastic Container Service (ECS) 容器中。然后,您可以将您的敏感信息作为环境变量或容器的日志配置中公开您的敏感信息。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为了帮助保护传输中的数据,请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段,以允许后端系统对来自 API Gateway 的请求进行身份验证。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为帮助保护静态数据,请确保已为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务(OpenSearch 服务)域启用加密。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 由于敏感数据可能存在,并且为了帮助保护静态数据,请确保对 Amazon Elastic Block Store (Amazon EBS) 卷的加密。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对您的亚马逊 OpenSearch 服务域启用加密。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 确保已为 Amazon Relational Database Service (Amazon RDS) 快照启用 由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 要帮助保护静态数据,请确保对于 Amazon Relational Database Service (Amazon RDS) 实例的加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要调用的请求才能使用安全套接字层 (SSL) 存储桶。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为帮助保护静态数据,请确保为您的 SageMaker 终端节点启用AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为帮助保护静态数据,请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为了帮助保护静态数据,请确保为 SAWS ecrets Manager 机密启用了密AWS钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Secrets Manager 机密中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.1 | 使用强加密技术,使所有身份验证凭据(例如密码/短语)在传输和存储所有系统组件期间都不可读。 | 为了帮助保护静态数据,请确保您的亚马逊Simple Notification Service (Amazon SNS) 主题需要使用AWS密钥管理服务 (AWSKMS) 进行加密。由于敏感数据可能静态存在于已发布的消息中,因此启用静态加密以帮助保护这些数据。 | |
| 8.2.3 | 密码/密码必须满足以下条件:• 要求最小长度为七个字符。• 包含数字和字母字符。或者,密码/密码的复杂性和强度必须至少等同于上面指定的参数。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您选择为 IAM 密码策略设置 RequireUppercaseCharacters (PCI DSS 默认值:false)、 RequireSymbols (PCI DSS 默认值:true)、 RequireNumbers (PCI DSS 默认值:true)、 MinimumPasswordLength (PCI DSS 默认值:7)、 PasswordReusePrevention (PCI DSS 默认值:4)和 MaxPasswordAge (PCI DSS 默认值:90)。 RequireLowercaseCharacters 实际值应反映贵组织的政策。 | |
| 8.2.4 | 每 90 天至少更改一次用户密码/密码短语。 | 通过确保 IAM 访问密钥按照组织政策轮换,对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间,并减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 8.2.4 | 每 90 天至少更改一次用户密码/密码短语。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您选择为 IAM 密码策略设置 RequireUppercaseCharacters (PCI DSS 默认值:false)、 RequireSymbols (PCI DSS 默认值:true)、 RequireNumbers (PCI DSS 默认值:true)、 MinimumPasswordLength (PCI DSS 默认值:7)、 PasswordReusePrevention (PCI DSS 默认值:4)和 MaxPasswordAge (PCI DSS 默认值:90)。 RequireLowercaseCharacters 实际值应反映贵组织的政策。 | |
| 8.2.4 | 每 90 天至少更改一次用户密码/密码短语。 | 此规则可确保 SSAWS ecrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的活跃时间,并有可能减少机密泄露后对业务的影响。 | |
| 8.2.5 | 不要允许个人提交与他或她最近使用的四个密码/密码中的任何一个相同的新密码/密码。 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您选择为 IAM 密码策略设置 RequireUppercaseCharacters (PCI DSS 默认值:false)、 RequireSymbols (PCI DSS 默认值:true)、 RequireNumbers (PCI DSS 默认值:true)、 MinimumPasswordLength (PCI DSS 默认值:7)、 PasswordReusePrevention (PCI DSS 默认值:4)和 MaxPasswordAge (PCI DSS 默认值:90)。 RequireLowercaseCharacters 实际值应反映贵组织的政策。 | |
| 8.3.1 | 将所有非控制台访问的多因素身份验证纳入具有管理访问权限的人员的 CDE。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 8.3.1 | 将所有非控制台访问的多因素身份验证纳入具有管理访问权限的人员的 CDE。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 8.3.1 | 将所有非控制台访问的多因素身份验证纳入具有管理访问权限的人员的 CDE。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 8.3.1 | 将所有非控制台访问的多因素身份验证纳入具有管理访问权限的人员的 CDE。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 8.3.2 | 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)纳入多因素身份验证。 | 启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。 | |
| 8.3.2 | 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)纳入多因素身份验证。 | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 8.3.2 | 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)纳入多因素身份验证。 | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 8.3.2 | 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)纳入多因素身份验证。 | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.1 | 实施审计跟踪,将对系统组件的所有访问权限链接到每个用户。 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.1 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有个人用户访问持卡人数据 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.2 | 对所有系统组件实施自动审计跟踪以重构以下事件:所有操作均由具有 root 权限或管理员权限的个人执行 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.3 | 对所有系统组件实施自动审计追踪以重构以下事件:访问所有审计记录 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.4 | 对所有系统组件实施自动审计跟踪以重建以下事件:逻辑访问尝试无效 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用日志(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.5 | 对所有系统组件实施自动审计跟踪以重构以下事件:身份和身份验证机制的使用和更改,包括但不限于创建新帐户和提升权限,以及对具有根或管理员权限的帐户的所有更改、添加或删除 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.2.6 | 对所有系统组件实施自动审计跟踪以重建以下事件:审计日志的初始化、停止或暂停 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.6 | 对所有系统组件实施自动审计跟踪以重建以下事件:审计日志的初始化、停止或暂停 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.6 | 对所有系统组件实施自动审计跟踪以重建以下事件:审计日志的初始化、停止或暂停 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.2.7 | 对所有系统组件实施自动审计跟踪以重建以下事件:创建和删除系统级对象 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | API Gateway 日志记录显示了访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | Elastic Load Balancing 活动是环境中的中心通信点。确保启用了 ELB 日志记录。收集的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了、从中发出调用的源AWS、从中发出调用的源、从中发出调用的源、从中发出调用的源 IP 调用的源、从中发出调用的源 IP 调用的源 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志提供了一种监控网络潜在网络安全事件的方法。通过捕获详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录详细地记录对 Amazon S3 桶提出的各种请求 每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | VPC 流日志提供有关传入和传出您的 Amazon Virtual Private Cloud (Amazon VPC) 中网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的AWS资源收到请求的时间,有关请求的信息,以及每个请求所匹配的规则的操作。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 确保启用AWS CodeBuild 项目日志,以便将构建输出日志发送到 Amazon Simple St CloudWatch orage Service (Amazon S3)。生成输出日志提供有关您的构建项目的详细信息。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 确保在您的亚马逊 OpenSearch 服务域上启用了审计日志记录。审核日志允许您跟踪用户在 OpenSearch 域上的活动,包括身份验证成功和失败、索引更改以及传入的搜索查询。 OpenSearch | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。 OpenSearch 服务错误日志可以帮助进行安全和访问审计,并可以帮助诊断可用性问题。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 要帮助在环境中进行记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。通过 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询表等事件。 | |
| 10.3.1 | 至少记录每个事件的所有系统组件的以下审计跟踪条目:用户识别 | 要保护静态数据,请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录有关数据库中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的中的 此规则要求为 clusterDbEncrypted (Config 默认值:TRUE)和启用 LoggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的政策。 | |
| 10.5 | 保护审计记录,使其无法更改。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| 10.5 | 保护审计记录,使其无法更改。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 10.5 | 保护审计记录,使其无法更改。 | 确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 10.5.2 | 保护审计跟踪文件免遭未经授权的修改。 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail 跟踪启用加密。 | |
| 10.5.2 | 保护审计跟踪文件免遭未经授权的修改。 | 为帮助保护静态数据,请确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 10.5.2 | 保护审计跟踪文件免遭未经授权的修改。 | 确保已为 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。 | |
| 10.5.3 | 立即将审计跟踪文件备份到难以更改的集中式日志服务器或媒体。 | 确保通过在对象的生命周期内部署 Amazon S3 生命周期策略,您可以在 Amazon S3 在对象的生命周期内执行的操作(例如,将对象转化为另一个存储类别、检索它们或在指定时期后删除它们)。 | |
| 10.5.3 | 立即将审计跟踪文件备份到难以更改的集中式日志服务器或媒体。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 10.5.3 | 立即将审计跟踪文件备份到难以更改的集中式日志服务器或媒体。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 10.5.3 | 立即将审计跟踪文件备份到难以更改的集中式日志服务器或媒体。 | Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动、异步地复制对象,以帮助确保数据可用性。 | |
| 10.5.5 | 对日志使用文件完整性监控或更改检测软件,确保在不生成警报的情况下无法更改现有日志数据(尽管添加的新数据不应引起警报)。 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 10.5.5 | 对日志使用文件完整性监控或更改检测软件,确保在不生成警报的情况下无法更改现有日志数据(尽管添加的新数据不应引起警报)。 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保存、检索和还原存储在 Amazon S3 存储桶中存储的每个版本。版本控制功能可帮助您轻松从用户意外操作和应用程序故障中恢复数据。 | |
| 10.7 | 将审计跟踪历史记录保留至少一年,至少有三个月可立即用于分析(例如,联机、存档或可通过备份恢复)。 | 确保通过在对象的生命周期内部署 Amazon S3 生命周期策略,您可以在 Amazon S3 在对象的生命周期内执行的操作(例如,将对象转化为另一个存储类别、检索它们或在指定时期后删除它们)。 | |
| 10.7 | 将审计跟踪历史记录保留至少一年,至少有三个月可立即用于分析(例如,联机、存档或可通过备份恢复)。 | 为帮助完成数据AWS备份流程,请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案简化了您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue (Config 默认值:1)、 requiredRetentionDays (Config 默认值:35)和 requiredFrequencyUnit (Config 默认值:天)参数。实际价值应反映贵组织的需求。 | |
| 11.2.3 | 进行任何重大更改后,执行内部和外部扫描,并根据需要重新扫描。扫描必须由合格的人员进行。 | Amazon Elastic Conatabase Relastic Relastic Relastic Relastic Relastic Re 在 ECR 存储库上启用图像扫描可为所存储图像的完整性和安全性增加一层验证。 | |
| 11.4 | 使用入侵检测和/或入侵防御技术来检测和/或防止入侵网络。监控持卡人数据环境周边以及持卡人数据环境关键点的所有流量,并提醒工作人员注意可疑的泄露行为。保持所有入侵检测和防御引擎、基准和签名处于最新状态。 | 亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表,用于标识AWS云环境中意外的和未经授权的恶意活动。 | |
| 11.4 | 使用入侵检测和/或入侵防御技术来检测和/或防止入侵网络。监控持卡人数据环境周边以及持卡人数据环境关键点的所有流量,并提醒工作人员注意可疑的泄露行为。保持所有入侵检测和防御引擎、基准和签名处于最新状态。 | AWSNetwork Firewall 策略定义您的防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来过滤数据包和流量,并定义默认流量处理。 | |
| 11.5 | 部署变更检测机制(例如文件完整性监控工具),提醒人员注意关键系统文件、配置文件或内容文件未经授权的修改(包括更改、添加和删除);并将软件配置为至少每周进行一次关键文件比较。 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 11.5 | 部署变更检测机制(例如文件完整性监控工具),提醒人员注意关键系统文件、配置文件或内容文件未经授权的修改(包括更改、添加和删除);并将软件配置为至少每周进行一次关键文件比较。 | AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全警报或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。 |
模板
该模板可在以下网址找到 GitHub:PCI DSS 操作最佳实践 3.2.1
