Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Betriebliche bewährte Methoden für FDA Titel 21 CFR Teil 11
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen Titel 21 des Code of Federal Regulations (CFR) Teil 11 und AWS verwalteten Konfigurationsregeln. Jede AWS Config Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere FDA-Kontrollen nach Titel 21 CFR Part 11. Eine Kontrolle nach FDA Title 21 CFR Part 11 kann sich auf mehrere Config-Regeln beziehen. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
| Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen |
|---|---|---|---|
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| 11.1 | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität der CloudTrail Protokolle zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Eine optimierte Instance im Amazon Elastic Block Store (Amazon EBS) bietet zusätzliche, dedizierte Kapazität für Amazon-EBS-I/O-Vorgänge. Diese Optimierung bietet die beste Leistung für Ihr EBS-Volume, indem Konflikte zwischen Amazon-EBS-I/O und anderem Datenverkehr von Ihrer Instance minimiert werden. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Aktivieren Sie diese Regel, um die Basiskonfiguration von Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances zu unterstützen, indem Sie überprüfen, ob Amazon-EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 11.10(a) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (a) Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender Leistung und der Fähigkeit zur Erkennung von ungültigen oder geänderten Aufzeichnungen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit der Amazon Virtual Private Cloud (Amazon VPC) und dem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Mit Lebenszyklusrichtlinien des Amazon Elastic Container Repository (ECR) können Sie das Lebenszyklusmanagement von Images in einem Repository festlegen. Dies ermöglicht die Automatisierung der Bereinigung ungenutzter Images, z. B. Images, die aufgrund von Alter oder Anzahl ablaufen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum). | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren SageMaker Endpunkt aktiviert ist. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(c) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (c) Schutz der Aufzeichnungen, damit sie während der gesamten Aufbewahrungsfrist fehlerfrei und problemlos abgerufen werden können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| 11.10(d) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (d) Beschränkung des Systemzugriffs auf autorisierte Personen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Um Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Amazon-Redshift-Cluster zu erfassen, stellen Sie sicher, dass die Prüfprotokollierung aktiviert ist. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| 11.10(e) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (e) Verwendung sicherer, computergenerierter Audit Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Benutzereingaben und Aktionen, mit denen elektronische Aufzeichnungen erstellt, geändert oder gelöscht werden. Änderungen an den Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Solche Audit Trails müssen mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und sie müssen der zuständigen Behörde zur Überprüfung und Vervielfältigung zur Verfügung gestellt werden. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Protokolle verwenden, um den Netzwerkverkehr zu überwachen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| 11.10(g) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (g) Durchführung von behördlichen Kontrollen, damit ausschließlich befugte Personen das System nutzen, Aufzeichnungen elektronisch signieren, auf den Vorgang oder das Eingabe- oder Ausgabegerät des Computersystems zugreifen, Aufzeichnungen ändern oder den betreffenden Vorgang ausführen können. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| 11.10(h) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (h) Verwendung von Geräteprüfungen (z. B. Endgeräten), um gegebenenfalls die Gültigkeit der Quelle der Dateneingabe oder der Betriebsanweisung festzustellen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| 11.10(h) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (h) Verwendung von Geräteprüfungen (z. B. Endgeräten), um gegebenenfalls die Gültigkeit der Quelle der Dateneingabe oder der Betriebsanweisung festzustellen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| 11.10(h) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (h) Verwendung von Geräteprüfungen (z. B. Endgeräten), um gegebenenfalls die Gültigkeit der Quelle der Dateneingabe oder der Betriebsanweisung festzustellen. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| 11.10(i) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: i) Gewährleistung, dass Personen, die elektronische Aufzeichnungs- und Signatursysteme entwickeln, pflegen oder verwenden, über die erforderliche Ausbildung, Schulung und Erfahrung verfügen, um die ihnen übertragenen Aufgaben zu erfüllen. | security-awareness-program-exists (Prozessüberprüfung) | Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie ihre Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können. |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden. | |
| 11.10(k) | Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen sicherzustellen und dafür zu sorgen, dass die Unterzeichneten die signierte Aufzeichnung nicht ohne Weiteres als unecht zurückweisen können. Diese Verfahren und Kontrollen müssen Folgendes umfassen: (k) Anwendung geeigneter Kontrollen der Systemdokumentation, darunter: (1) Angemessene Kontrollen des Zugriffs auf und der Verteilung und Verwendung von Unterlagen für den Betrieb und die Wartung des Systems; (2) Verfahren zur Überprüfung und Kontrolle von Änderungen, um ein Audit Trail anzulegen, in dem die Erstellung und Änderung der Systemdokumentation in chronologischer Reihenfolge dokumentiert wird. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.2 | (a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren: (1) müssen mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort enthalten. (i) Wenn eine Person in einem einzigen, ununterbrochenen Zeitraum des kontrollierten Systemzugriffs mehrere Signaturen erstellt, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten erfolgen; nachfolgende Signaturen erfordern mindestens eine elektronische Signaturkomponente, die nur von dieser Person ausgeführt werden kann und auch nur von ihr verwendet werden soll. (ii) Wenn eine Person eine oder mehrere Signaturen erstellt, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs erfolgten, sind für jede Signatur alle elektronischen Signaturkomponenten erforderlich. (2) dürfen nur von ihren echten Eigentümern verwendet werden; und (3) müssen so verwaltet und ausgeführt werden, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von mindestens zwei Personen erfordert. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel nach dem Ende ihrer Krypto-Periode rotiert werden. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre in Amazon S3 gespeicherten AWS CodeBuild Protokolle aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kunden-Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. | |
| 11,3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren SageMaker Endpunkt aktiviert ist. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen. | |
| 11.3 | Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen entsprechende Verfahren und Kontrollen anwenden, um die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen ab dem Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören gegebenenfalls die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Anwendung geeigneter Standards für digitale Signaturen, um, soweit dies unter den gegebenen Umständen erforderlich ist, die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) Es muss sichergestellt werden, dass Identifizierungscodes und Passwörter regelmäßig überprüft, zurückgerufen oder überarbeitet werden (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugangsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) Es muss sichergestellt werden, dass Identifizierungscodes und Passwörter regelmäßig überprüft, zurückgerufen oder überarbeitet werden (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) die Sicherstellung, dass die Ausgabeaufgaben von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet werden (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) die Sicherstellung, dass die Herausgabe von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet wird (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) Die Sicherstellung, dass die Herausgabe von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet wird (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. | |
| 11.300(b) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (b) Sicherstellung, dass die Herausgabe von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet wird (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken). | Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird. | |
| 11.300(d) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (d) Maßnahmen zum Schutz von Transaktionen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und jegliche Versuche einer unbefugten Verwendung aufzudecken und der Systemsicherheitsabteilung und gegebenenfalls der Geschäftsleitung dringend und unverzüglich zu melden. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| 11.300(d) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (d) Maßnahmen zum Schutz von Transaktionen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und jegliche Versuche einer unbefugten Verwendung aufzudecken und der Systemsicherheitsabteilung und gegebenenfalls der Geschäftsleitung dringend und unverzüglich zu melden. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| 11.300(d) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (d) Maßnahmen zum Schutz von Transaktionen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und jegliche Versuche einer unbefugten Verwendung aufzudecken und der Systemsicherheitsabteilung und gegebenenfalls der Geschäftsleitung dringend und unverzüglich zu melden. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| 11.300(d) | Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen entsprechende Kontrollen anwenden, um deren Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören: (d) Maßnahmen zum Schutz von Transaktionen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und jegliche Versuche einer unbefugten Verwendung aufzudecken und der Systemsicherheitsabteilung und gegebenenfalls der Geschäftsleitung dringend und unverzüglich zu melden. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for FDA Title 21 CFR Part 11.
