本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Esquema Nacional de Seguridad (ENS) Medium 的操作最佳實務
一致性套件提供一般用途的合規性架構,可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供了西班牙國家公園德塞古里達(ENS)中型框架控制項和託管 Config 規則之間的示例映射。 AWS 每個 Config 規則適用於特定 AWS 資源,並與一個或多個西班牙 ENS Medium 控制項相關。一個西班牙 ENS 控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
此一致性套件範本範例包含西班牙 ENS Medium 架構控制的映射,上次更新日期為 2020/10/23。
| 控制 ID | AWS Config 規則 | 指引 |
|---|---|---|
| Anexo II 4.1.2.a);b);c) | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表格會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。 | |
| Anexo II 4.1.2.a);b);c) | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| Anexo II 4.1.2.a);b);c) | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料,因此請強制執行靜態物件鎖定以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中,因此請啟用靜態加密以協助保護資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了保護靜態資料,請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| Anexo II 4.1.2.a);b);c) | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| Anexo II 4.1.2.a);b);c) | 利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改,刪除或偽造 CloudTrail 日誌文件而不進行檢測。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態敏感資料,請確保已為 Amazon CloudWatch 日誌群組啟用加密。 | |
| Anexo II 4.1.2.a);b);c) | Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量,以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| Anexo II 4.1.2.a);b);c) | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| Anexo II 4.1.2.a);b);c) | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。 | |
| Anexo II 4.1.2.a);b);c) | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 4.1.2.a);b);c) | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| Anexo II 4.1.2.a);b);c) | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| Anexo II 4.1.2.a);b);c) | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。 | |
| Anexo II 4.1.2.a);b);c) | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則要求為 clusterDbEncrypted (Config 默認值:TRUE)和 loggingEnabled(Config 默認值:TRUE)設置一個值。實際值應反映貴組織的政策。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 為了協助保護靜態資料,請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 4.1.2.a);b);c) | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| Anexo II 4.1.2.b) | 此規則可確保安全群組連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 ENI。此規則有助於監控清查中未使用的安全群組並管理您的環境。 | |
| Anexo II 4.1.2.b) | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| Anexo II 4.1.2.b) | 啟用此規則可根據組織的標準,檢查 Amazon EC2 執行個體的停止時間是否超過允許的天數,以協助設定 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的基準組態。 | |
| Anexo II 4.1.2.b) | 此規則可確保在執行個體終止時,連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除,則可能會違反最少功能的概念。 | |
| Anexo II 4.1.2.b) | 此規則可確保配置給 Amazon Virtual Private Cloud (Amazon VPC) 的彈性 IP 已連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或使用中的彈性網路介面。此規則有助於監控環境中未使用的 EIP。 | |
| Anexo II 4.1.2.b) | 此規則可確保正在使用 Amazon Virtual Private Cloud (VPC) 網路存取控制清單。監控未使用的網路存取控制清單,可協助您的環境進行準確的清查和管理。 | |
| Anexo II 4.2.1.a) | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限,可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| Anexo II 4.2.1.a);4.2.1.b) | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限,可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| Anexo II 4.2.4 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| Anexo II 4.2.4 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| Anexo II 4.2.4 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| Anexo II 4.2.4 | 通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| Anexo II 4.2.5 | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限,可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| Anexo II 4.2.5.a) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| Anexo II 4.2.5.c) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| Anexo II 4.2.6.BAJO.c) | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Anexo II 4.2.6.c) | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| Anexo II 4.2.6.c) | AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| Anexo II 4.2.6.c) | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| Anexo II 4.2.6.c) | 若要協助您在環境中進行記錄和監控,請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。 | |
| Anexo II 4.2.6.c) | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| Anexo II 4.2.6.c) | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶. | |
| Anexo II 4.2.6.c) | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶 以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址,以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。 | |
| Anexo II 4.2.6.c) | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。 | |
| Anexo II 4.2.6.c) | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| Anexo II 4.2.6.c) | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| Anexo II 4.2.6.c) | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和協定。 | |
| Anexo II 4.2.7 | 啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。 | |
| Anexo II 4.2.7 | 透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA,以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| Anexo II 4.2.7 | 確保針對 root 使用者啟用硬體 MFA,以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| Anexo II 4.2.7 | 確保針對 root 使用者啟用 MFA,以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| Anexo II 4.3.1 | 此規則可確保安全群組連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 ENI。此規則有助於監控清查中未使用的安全群組並管理您的環境。 | |
| Anexo II 4.3.1 | 使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。 | |
| Anexo II 4.3.1 | 啟用此規則可根據組織的標準,檢查 Amazon EC2 執行個體的停止時間是否超過允許的天數,以協助設定 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的基準組態。 | |
| Anexo II 4.3.1 | 此規則可確保在執行個體終止時,連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除,則可能會違反最少功能的概念。 | |
| Anexo II 4.3.1 | 此規則可確保配置給 Amazon Virtual Private Cloud (Amazon VPC) 的彈性 IP 已連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或使用中的彈性網路介面。此規則有助於監控環境中未使用的 EIP。 | |
| Anexo II 4.3.1 | 此規則可確保正在使用 Amazon Virtual Private Cloud (VPC) 網路存取控制清單。監控未使用的網路存取控制清單,可協助您的環境進行準確的清查和管理。 | |
| Anexo II 4.3.2.b) | 確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或耗用過多環境中的資源。 | |
| Anexo II 4.3.2.b) | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| Anexo II 4.3.2.b) | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| Anexo II 4.3.2.b) | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| Anexo II 4.3.2.b) | 確保 DMS 複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Anexo II 4.3.2.b) | 確保 EBS 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Anexo II 4.3.2.b) | 確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Anexo II 4.3.2.b) | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| Anexo II 4.3.2.b) | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Anexo II 4.3.2.b) | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選,協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| Anexo II 4.3.2.b) | 透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC),以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取,這可能導致未經授權存取 Amazon VPC 資源。 | |
| Anexo II 4.3.2.b) | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| Anexo II 4.3.2.b) | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數,以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| Anexo II 4.3.2.b) | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| Anexo II 4.3.2.b) | 確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| Anexo II 4.3.2.b) | 確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| Anexo II 4.3.2.b) | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| Anexo II 4.3.2.b) | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| Anexo II 4.3.2.b) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| Anexo II 4.3.2.b) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| Anexo II 4.3.2.b) | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| Anexo II 4.3.2.b) | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| Anexo II 4.3.2.b) | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| Anexo II 4.3.2.b) | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| Anexo II 4.3.2.b) | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選,協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。 | |
| Anexo II 4.3.2.b) | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| Anexo II 4.3.4.c) | vuln-management-plan-exists (處理程序檢查) | 確保已制定並實作漏洞管理計畫,以便擁有正式定義的程序來解決環境中的漏洞。這可能包括漏洞管理工具、環境掃描頻率、角色和責任。 |
| Anexo II 4.3.6 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| Anexo II 4.3.7.a) | response-plan-exists-maintained (處理程序檢查) | 確保已建立、維護事件回應計畫,並將其分發給負責人員。擁有已更新且正式記載的回應計畫可協助確保回應人員了解事件期間應遵循的角色、責任和程序。 |
| Anexo II 4.3.8 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| Anexo II 4.3.8 | AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| Anexo II 4.3.8 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| Anexo II 4.3.8 | 若要協助您在環境中進行記錄和監控,請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。 | |
| Anexo II 4.3.8 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| Anexo II 4.3.8 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶. | |
| Anexo II 4.3.8 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶 以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址,以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。 | |
| Anexo II 4.3.8 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。 | |
| Anexo II 4.3.8 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| Anexo II 4.3.8 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| Anexo II 4.3.8 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和協定。 | |
| Anexo II 4.3.8.BAJO | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Anexo II 4.3.8.MEDIO | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Anexo II 4.3.10.b) | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| Anexo II 4.3.10.b) | 利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改,刪除或偽造 CloudTrail 日誌文件而不進行檢測。 | |
| Anexo II 4.3.10.d) | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| Anexo II 4.6.1 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| Anexo II 4.6.2 | AWS Security Hub 有助於監控未經授權的人員,連接,設備和軟件。 AWS Security Hub 彙總、組織和優先處理來自多個服務的安全性警示或發現項目。 AWS 一些這樣的服務是 Amazon Security Hub,Amazon Inspector,Amazon Macie, AWS Identity and Access Management (IAM) 訪問分析器, AWS Firewall Manager 器和 AWS 合作夥伴解決方案。 | |
| Anexo II 4.6.2 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| Anexo II 5.2.3 | security-awareness-program-exists (處理程序檢查) | 為貴組織建立並維護安全意識計劃。安全意識計劃可教育員工如何保護其組織免於遭受各種安全缺口或事件侵害。 |
| Anexo II 5.4.2 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.2 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 5.4.2 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.2 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.2 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| Anexo II 5.4.2 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 5.4.2 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.2 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.2.MEDIO | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Anexo II 5.4.3 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.3 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 5.4.3 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.3 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.3 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| Anexo II 5.4.3 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 5.4.3 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.3 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.4.3.MEDIO | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Anexo II 5.4.3.a) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| Anexo II 5.6.1.c) | 請確定驗證認證 AW_ACCESS_KEY_ID 和 AWS_Secret_KEY 在程式碼建置專案環境中不存在。 AWS 請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。 | |
| Anexo II 5.6.1.c) | 確保 GitHub 或 Bitbucket 源存儲庫 URL 不包含個人訪問令牌, AWS Codebuild 項目環境中的登錄憑據。使用 OAuth 而不是個人訪問令牌或登錄憑據來授予訪問 GitHub 或 Bitbucket 存儲庫的授權。 | |
| Anexo II 5.7.3 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表格會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中,因此請啟用靜態加密以協助保護資料。 | |
| Anexo II 5.7.3 | 為了保護靜態資料,請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| Anexo II 5.7.3 | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| Anexo II 5.7.3 | 為了協助保護靜態敏感資料,請確保已為 Amazon CloudWatch 日誌群組啟用加密。 | |
| Anexo II 5.7.3 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| Anexo II 5.7.3 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。 | |
| Anexo II 5.7.3 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Anexo II 5.7.3 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| Anexo II 5.7.3 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。 | |
| Anexo II 5.7.3 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則要求為 clusterDbEncrypted (Config 默認值:TRUE)和 loggingEnabled(Config 默認值:TRUE)設置一個值。實際值應反映貴組織的政策。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 為了協助保護靜態資料,請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.3 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Anexo II 5.7.4 | 啟用金鑰輪換,以確保金鑰在金鑰到達加密期間結束後進行輪換。 | |
| Anexo II 5.7.4 | 若要協助保護靜態資料,請確定金鑰管理服務 (AWS KMS) 中未排程刪除必要的客戶主金 AWS 鑰 (CMK)。因為刪除金鑰有時為必要,而這個規則可協助檢查所有排程要刪除的金鑰,以防無意中排程刪除金鑰。 | |
| Anexo II 5.8.2 | 確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或耗用過多環境中的資源。 | |
| Anexo II 5.8.2 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| Anexo II 5.8.3.b) | 確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或耗用過多環境中的資源。 | |
| Anexo II 5.8.3.b) | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| Anexo II 5.8.3.b) | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。 | |
| Anexo II 5.8.3.b) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| Anexo II 5.8.3.b) | Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量,以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| Anexo II 5.8.3.b) | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| Anexo II 5.8.3.b) | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| Anexo II 5.8.3.b) | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| Art. 14.4 | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限,可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| Art. 16 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| Art. 16 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| Art. 16 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權結合,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| Art. 16 | 通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。 | |
| Art. 20.2 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| Art. 20.2 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。 | |
| Art. 20.2 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。 | |
| Art. 20.2 | vuln-management-plan-exists (處理程序檢查) | 確保已制定並實作漏洞管理計畫,以便擁有正式定義的程序來解決環境中的漏洞。這可能包括漏洞管理工具、環境掃描頻率、角色和責任。 |
| Art. 21.1 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表格會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。 | |
| Art. 21.1 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| Art. 21.1 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料,因此請強制執行靜態物件鎖定以協助保護該資料。 | |
| Art. 21.1 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中,因此請啟用靜態加密以協助保護資料。 | |
| Art. 21.1 | 為了保護靜態資料,請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發佈訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| Art. 21.1 | 由於敏感資料可能存在並協助保護靜態資料,因此請確保 AWS CloudTrail 追蹤已啟用加密功能。 | |
| Art. 21.1 | 利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改,刪除或偽造 CloudTrail 日誌文件而不進行檢測。 | |
| Art. 21.1 | 為了協助保護靜態敏感資料,請確保已為 Amazon CloudWatch 日誌群組啟用加密。 | |
| Art. 21.1 | Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量,以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| Art. 21.1 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| Art. 21.1 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。 | |
| Art. 21.1 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| Art. 21.1 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| Art. 21.1 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| Art. 21.1 | 由於敏感資料可以存在並協助保護靜態資料,因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。 | |
| Art. 21.1 | 確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則要求為 clusterDbEncrypted (Config 默認值:TRUE)和 loggingEnabled(Config 默認值:TRUE)設置一個值。實際值應反映貴組織的政策。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| Art. 21.1 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| Art. 21.1 | 為了協助保護靜態資料,請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 若要協助保護靜態資料,請確定 AWS Secrets Manager 密碼已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| Art. 21.1 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| Art. 22 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| Art. 22 | 請確定 AWS Systems Manager (SSM) 文件不是公開的,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| Art. 22 | 確保 DMS 複寫執行個體無法公開存取,以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Art. 22 | 確保 EBS 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Art. 22 | 確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取,以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Art. 22 | 通過確保 Amazon OpenSearch 服務(服OpenSearch 務)域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| Art. 22 | 透過確保 Amazon EMR 叢集主節點無法公開存取,以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| Art. 22 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選,協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| Art. 22 | 透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC),以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取,這可能導致未經授權存取 Amazon VPC 資源。 | |
| Art. 22 | 確保 AWS Lambda 函數無法公開存取,以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| Art. 22 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數,以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| Art. 22 | 通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud(Amazon VPC)中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| Art. 22 | 確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| Art. 22 | 確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的,以管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| Art. 22 | 透過確保 Amazon Redshift 叢集不是公開的,來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| Art. 22 | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| Art. 22 | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| Art. 22 | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| Art. 22 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| Art. 22 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| Art. 22 | 確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路,以管理 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| Art. 22 | 透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址,以管理對雲端的存取。啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| Art. 22 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選,協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。 | |
| Art. 22 | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| Art. 23 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| Art. 23 | AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| Art. 23 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| Art. 23 | 若要協助您在環境中進行記錄和監控,請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。 | |
| Art. 23 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| Art. 23 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶. | |
| Art. 23 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶 以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址,以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。 | |
| Art. 23 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。 | |
| Art. 23 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| Art. 23 | 確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。 | |
| Art. 23 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| Art. 23 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和協定。 | |
| Art. 24.1 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。 | |
| Art. 24.2 | response-plan-exists-maintained (處理程序檢查) | 確保已建立、維護事件回應計畫,並將其分發給負責人員。擁有已更新且正式記載的回應計畫可協助確保回應人員了解事件期間應遵循的角色、責任和程序。 |
| Art. 25 | 為了協助進行資料 Backup 程序,請確保您的 Amazon DynamoDB 表是備份計劃的一 AWS 部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| Art. 25 | 為了協助進行資料 Backup 程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| Art. 25 | 為了協助進行資料 Backup 程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| Art. 25 | 為了協助進行資料 Backup 程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| Art. 25 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會針對每個資料變更節點 (或以先到者為準) 每 8 小時或每 5 GB 擷取一次快照。 | |
| Art. 25 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定的保留期間,以符合您的恢復能力要求。 | |
| Art. 25 | 啟用此規則可檢查資訊是否已備份。它也會透過確保在 Amazon DynamoDB 中啟用 point-in-time 復原功能來維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| Art. 25 | Amazon Elastic Block Store (Amazon EBS) 中的最佳化執行個體可為 Amazon EBS I/O 作業提供額外的專用容量。此最佳化藉由將 Amazon EBS I/O 操作與執行個體中其他流量之間的爭用降至最低,為 EBS 磁碟區提供最有效率的效能。 | |
| Art. 25 | 啟用自動備份後,Amazon ElastiCache 會每天建立叢集的備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| Art. 25 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| Art. 25 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 |
範本
該模板是可用的 GitHub:操作最佳實踐國家安古里達 (ENS) 媒
