Bewährte Methoden für die Ausführung von IRS 1075 - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Ausführung von IRS 1075

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den IRS 1075- und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere IRS 1075-Steuerelemente. Eine IRS-1075-Kontrolle kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing d. Datenverschlüsselung während der Übertragung FTI muss während der Übertragung innerhalb der Cloud-Umgebung verschlüsselt werden. Alle zur Verschlüsselung von FTI verwendeten Mechanismen müssen FIPS-140-zertifiziert sein und mit den aktuellen FIPS-140-kompatiblen Modulen betrieben werden. Diese Anforderung muss in der SLA enthalten sein.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

api-gw-cache-enabled-und-verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

ec2- ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
3,3.1 Cloud-Computing e. Datenverschlüsselung im Ruhezustand Datenverschlüsselung im Ruhezustand: FTI muss im Ruhezustand in der Cloud mit dem aktuellen FIPS-140-zertifizierten Verschlüsselungsmechanismus verschlüsselt werden. Diese Anforderung muss in der SLA enthalten sein.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
3,3.1 Cloud-Computing k. Multi-Faktor-Authentifizierung Behörden müssen eine ausreichende Multi-Faktor-Authentifizierung implementieren, wenn ihre Cloud-Lösungen über das Internet verfügbar sind (d. h., wenn der Zugriff auf die Cloud-Lösung von außerhalb des vertrauenswürdigen Netzwerks der Behörde erfolgt).

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
3,3.1 Cloud-Computing k. Multi-Faktor-Authentifizierung Behörden müssen eine ausreichende Multi-Faktor-Authentifizierung implementieren, wenn ihre Cloud-Lösungen über das Internet verfügbar sind (d. h., wenn der Zugriff auf die Cloud-Lösung von außerhalb des vertrauenswürdigen Netzwerks der Behörde erfolgt).

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
3,3.1 Cloud-Computing k. Multi-Faktor-Authentifizierung Behörden müssen eine ausreichende Multi-Faktor-Authentifizierung implementieren, wenn ihre Cloud-Lösungen über das Internet verfügbar sind (d. h., wenn der Zugriff auf die Cloud-Lösung von außerhalb des vertrauenswürdigen Netzwerks der Behörde erfolgt).

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
3,3.1 Cloud-Computing k. Multi-Faktor-Authentifizierung Behörden müssen eine ausreichende Multi-Faktor-Authentifizierung implementieren, wenn ihre Cloud-Lösungen über das Internet verfügbar sind (d. h., wenn der Zugriff auf die Cloud-Lösung von außerhalb des vertrauenswürdigen Netzwerks der Behörde erfolgt).

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
3,3.1 Cloud-Computing i. Risikobewertung: Die Behörde muss jährlich eine Bewertung der Sicherheits- und Datenschutzkontrollen durchführen, die für alle Informationssysteme gelten, die für den Empfang, die Verarbeitung, die Speicherung, den Zugriff, den Schutz und/oder die Übertragung von FTI verwendet werden. annual-risk-assessment-performed(Prozessüberprüfung) Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

netfw-policy-rule-group-verknüpft

Eine AWS Netzwerk-Firewall-Richtlinie definiert, wie Ihre Firewall den Verkehr in einer Amazon VPC überwacht und verarbeitet. Sie konfigurieren statusfreie und statusbehaftete Regelgruppen, um Pakete und Datenverkehrsströme zu filtern, und Sie definieren den standardmäßigen Umgang mit Datenverkehr.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

netfw-stateless-rule-group-nicht leer

Eine AWS Netzwerkfirewall-Regelgruppe enthält Regeln, die definieren, wie Ihre Firewall den Verkehr in Ihrer VPC verarbeitet. Wenn eine leere statuslose Regelgruppe in einer Firewall-Richtlinie vorhanden ist, verarbeitet sie keinen Datenverkehr.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

waf-regional-rule-not-leer

Stellen Sie sicher, dass Ihre AWS WAF eine Regel hat, die nicht leer ist. Eine Regel ohne Bedingungen kann zu unbeabsichtigtem Verhalten führen.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

waf-regional-rulegroup-not-leer

Stellen Sie sicher, dass Ihre AWS WAF eine Regelgruppe hat, die nicht leer ist. Eine leere Regelgruppe kann zu unbeabsichtigtem Verhalten führen.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

waf-regional-webacl-not-leer

Eine an eine AWS WAF angehängte Web-ACL kann eine Sammlung von Regeln und Regelgruppen zur Überprüfung und Steuerung von Webanfragen enthalten. Wenn eine Web-ACL leer ist, wird der Webdatenverkehr weitergeleitet, ohne von der WAF erkannt oder bearbeitet zu werden.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
3.3.6 Netzwerkgrenze und Infrastruktur Die Behörden müssen in ihrer gesamten Systemarchitektur Grenzschutzeinrichtungen einsetzen, einschließlich Router, Firewalls, Switches und Systeme zur Angriffserkennung, um FTI sowie FTI-Systeme zu schützen.

api-gw-associated-with-WAF

AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
AC-2 Kontoverwaltung (f) Konten müssen gemäß den behördlichen Anforderungen für die Kontoverwaltung erstellt, aktiviert, geändert, deaktiviert und entfernt werden;

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontoverwaltung (f) Konten müssen gemäß den behördlichen Anforderungen für die Kontoverwaltung erstellt, aktiviert, geändert, deaktiviert und entfernt werden;

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
AC-2 Kontoverwaltung (f) Konten müssen gemäß den behördlichen Anforderungen für die Kontoverwaltung erstellt, aktiviert, geändert, deaktiviert und entfernt werden;

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-2 Kontoverwaltung (f) Konten müssen gemäß den behördlichen Anforderungen für die Kontoverwaltung erstellt, aktiviert, geändert, deaktiviert und entfernt werden;

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
AC-2 Kontoverwaltung (f) Konten müssen gemäß den behördlichen Anforderungen für die Kontoverwaltung erstellt, aktiviert, geändert, deaktiviert und entfernt werden;

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

s3- bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-2 Kontoverwaltung (g) Überwachen Sie die Verwendung von Konten.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

secretsmanager-scheduled-rotation-success-überprüfen

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

secretsmanager-secret-periodic-rotation

Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die regelmäßige Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. Der Standardwert lautet 90 Tage.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

secretsmanager-secret-unused

Wenn in AWS Secrets Manager unbenutzte Anmeldeinformationen vorhanden sind, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen kann. Mit dieser Regel können Sie einen Wert auf unusedForDays (Config Default: 90) setzen. Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-2 Kontoverwaltung (j) Überprüfen Sie die Konten auf die Einhaltung der Anforderungen an die Kontoverwaltung.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
(CE-1) Automatisierte Systemkontenverwaltung Unterstützen Sie die Verwaltung von Systemkonten mithilfe automatisierter Mechanismen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
(CE-1) Automatisierte Systemkontenverwaltung Unterstützen Sie die Verwaltung von Systemkonten mithilfe automatisierter Mechanismen.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
(CE-1) Automatisierte Systemkontenverwaltung Unterstützen Sie die Verwaltung von Systemkonten mithilfe automatisierter Mechanismen.

secretsmanager-scheduled-rotation-success-überprüfen

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
(CE-3): Konten deaktivieren Deaktivieren Sie Konten innerhalb von 120 Tagen, wenn die Konten: a. abgelaufen sind; b. keinen Benutzern oder Einzelpersonen mehr zugeordnet sind; c. gegen die Richtlinien der Organisation verstoßen; oder d. bei nicht privilegierten Konten 120 Tage und bei privilegierten Konten 60 Tage inaktiv waren.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
(CE-12) Kontoüberwachung auf untypische Nutzung Überwachen Sie Systemkonten auf von der Behörde definierte untypische Nutzung und melden Sie die untypische Nutzung von Systemkonten an von der Behörde ernannte Mitarbeiter oder definierte Rollen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms:). ReEncryptFrom Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

opensearch-access-control-enabled

Stellen Sie sicher, dass eine differenzierte Zugriffskontrolle für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Eine differenzierte Zugriffskontrolle bietet erweiterte Autorisierungsmechanismen, um den Zugriff auf Amazon Service-Domains mit den geringsten Rechten zu erreichen. OpenSearch Es ermöglicht eine rollenbasierte Zugriffskontrolle auf die Domain sowie Sicherheit auf Index-, Dokument- und Feldebene, Unterstützung für OpenSearch Service-Dashboards, Mehrmandantenfähigkeit und HTTP-Basisauthentifizierung für Service und Kibana. OpenSearch
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

secretsmanager-secret-unused

Wenn in AWS Secrets Manager unbenutzte Anmeldeinformationen vorhanden sind, sollten Sie die Anmeldeinformationen deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Rechte verstoßen kann. Mit dieser Regel können Sie einen Wert auf unusedForDays (Config Default: 90) setzen. Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

codebuild-project-environment-privileged-überprüfen

Um Sie bei der Implementierung des Prinzips der geringsten Rechte zu unterstützen, stellen Sie sicher, dass in Ihrer CodeBuild Amazon-Projektumgebung der privilegierte Modus nicht aktiviert ist. Diese Einstellung sollte deaktiviert werden, um unbeabsichtigten Zugriff auf Docker-APIs sowie auf die dem Container zugrunde liegende Hardware zu verhindern.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

ec2- instance-profile-attached

EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

ecs-containers-nonprivileged

Um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen, dürfen in Amazon Elastic Container Service (Amazon ECS)-Aufgabendefinitionen keine erhöhten Berechtigungen aktiviert sein. Wenn dieser Parameter den Wert „true“ aufweist, erhält der Container erhöhte Berechtigungen auf der Host-Container-Instance (ähnlich wie der Root-Benutzer).
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS)-Container kann dazu beitragen, das Prinzip der geringsten Berechtigung einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

ecs-task-definition-nonroot-benutzer

Sie bestimmen einen Nicht-Root-Benutzer für den Zugriff auf Ihre Aufgabendefinitionen des Amazon Elastic Container Service (Amazon ECS), um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

efs-access-point-enforce-Benutzeridentität

Sie aktivieren die Benutzererzwingung für Ihr Amazon Elastic File System (Amazon EFS), um die Implementierung des Prinzips der geringsten Berechtigung zu unterstützen. Wenn diese Option aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppenkennungen des NFS-Clients durch die auf dem Zugangspunkt für alle Dateisystemoperationen konfigurierte Kennung und gewährt nur Zugriff auf diese erzwungene Benutzerkennung.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
AC-6 Geringste Berechtigung Wenden Sie das Prinzip der geringsten Berechtigung an und erlauben Sie Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben durch die Organisation notwendig ist.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Verfahren: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel sorgt dafür, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-17: Remote-Zugriff Definieren und dokumentieren Sie Nutzungsbeschränkungen, Konfigurations-/Verbindungsanforderungen und Implementierungsrichtlinien für jeden erlaubten Remote-Zugriffstyp. Autorisieren Sie jede Art von Remote-Zugriff auf das System, bevor Sie solche Verbindungen zulassen.

redshift-enhanced-vpc-routing-aktiviert

Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Protokolle verwenden, um den Netzwerkverkehr zu überwachen.
AT-1: Sensibilisierung und Schulung Bieten Sie Systembenutzern (einschließlich Managern, Führungskräften und Auftragnehmern) Schulungen zum Thema Sicherheit und Datenschutz an. security-awareness-program-exists(Prozessüberprüfung) Etablieren und pflegen Sie ein Programm zur Förderung des Sicherheitsbewusstseins in Ihrer Organisation. Programme zur Förderung des Sicherheitsbewusstseins der Mitarbeiter vermitteln ihnen, wie sie ihre Organisation vor diversen Sicherheitsverletzungen oder Sicherheitsvorfällen schützen können.
AU-2: Prüfungsereignisse Identifizieren Sie die Arten von Ereignissen, die das System zur Unterstützung der Prüfungsfunktion protokollieren kann. audit-log-policy-exists(Prozessüberprüfung) Richten Sie eine Richtlinie zur Verwaltung von Prüfprotokollen ein, in der die Protokollierungsanforderungen Ihres Unternehmens definiert sind, und pflegen Sie diese Richtlinie. Dies beinhaltet, ist aber nicht beschränkt auf die Überprüfung und Aufbewahrung von Prüfprotokollen.
AU-16: Organisationsübergreifende Protokollierung von Prüfungen Wenden Sie behördlich definierte Methoden zur Koordinierung behördlich definierter Prüfungsinformationen zwischen externen Organisationen an, wenn Prüfungsinformationen außerhalb der Organisation übertragen werden. audit-log-policy-exists(Prozessüberprüfung) Richten Sie eine Richtlinie zur Verwaltung von Prüfprotokollen ein, in der die Protokollierungsanforderungen Ihres Unternehmens definiert sind, und pflegen Sie diese Richtlinie. Dies beinhaltet, ist aber nicht beschränkt auf die Überprüfung und Aufbewahrung von Prüfprotokollen.
CA-7: Kontinuierliche Überwachung Entwickeln Sie eine Strategie zur kontinuierlichen Überwachung auf Systemebene und Umsetzung einer kontinuierlichen Überwachung gemäß der Strategie zur kontinuierlichen Überwachung auf Organisationsebene: Bestimmen Sie behördlich definierte Kennzahlen, die überwacht werden sollen; Laufende Kontrollbewertungen gemäß der Strategie zur kontinuierlichen Überwachung; Kontinuierliche Überwachung der system- und organisationseitig definierten Kennzahlen gemäß der Strategie zur kontinuierlichen Überwachung; Korrelation und Analyse der durch Kontrollbewertungen und Überwachung generierten Informationen; Reaktionsmaßnahmen zur Bearbeitung der Ergebnisse der Kontrollanalyse; Bewertung und Überwachung von Informationen und mindestens jährliche Berichterstattung über den Sicherheits- und Datenschutzstatus des Systems an von der Behörde ernannte Mitarbeiter.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

aurora-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

backup-plan-min-frequency-and-min-retention-check

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

backup-recovery-point-manual-Löschen-deaktiviert

Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

backup-recovery-point-minimum-Aufbewahrungsprüfung

Um bei Datensicherungsprozessen zu helfen, stellen Sie sicher, dass für Ihre AWS Backup-Wiederherstellungspunkte eine Mindestaufbewahrungsdauer festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie den Parameter requiredRetentionDays (Standardkonfiguration: 35) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

ec2--Plan resources-protected-by-backup

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

fsx-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon FSx-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

rds-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-9: Systemsicherung a. Führen Sie wöchentlich Backups von Informationen auf Benutzerebene durch, die in der Systemdokumentation enthalten sind, einschließlich sicherheitsrelevanter Dokumente; b. Führen Sie wöchentlich Backups von Informationen auf Systemebene durch; c. Führen Sie wöchentlich Backups der Systemdokumentation durch, einschließlich sicherheits- und datenschutzrelevanter Unterlagen; und d. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Backup-Informationen.

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
IA-2: Identifizierung und Authentifizierung (Benutzer der Organisation) (CE-1) | Multi-Faktor-Authentifizierung für privilegierte Konten Implementieren Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf privilegierte Konten.

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
IA-2: Identifizierung und Authentifizierung (Benutzer der Organisation) (CE-1) | Multi-Faktor-Authentifizierung für privilegierte Konten Implementieren Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf privilegierte Konten.

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
IA-2: Identifizierung und Authentifizierung (Benutzer der Organisation) (CE-2) Multi-Faktor-Authentifizierung für nicht privilegierte Konten Implementieren Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf nicht privilegierte Konten.

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-5: Verwaltung von Authentifikatoren: (CE-1) Passwortbasierte Authentifizierung: Für passwortbasierte Authentifizierung Setzen Sie die folgenden Regeln hinsichtlich Zusammensetzung und Komplexität durch: 1. Erzwingen Sie eine Mindestpasswortlänge von vierzehn (14) Zeichen. 2. Erzwingen Sie eine Mindestkomplexität von Kennwörtern, damit sie eine Kombination aus Zahlen, Großbuchstaben, Kleinbuchstaben und Sonderzeichen enthalten. 3. Erzwingen Sie bei der Auswahl neuer Passwörter, dass mindestens ein (1) Zeichen geändert wird. 4. Speichern und übertragen Sie nur kryptografisch geschützte Passwörter. 5. Setzen Sie Einschränkungen für die Gültigkeitsdauer von Passwörtern durch: i. Mindestens ein (1) Tag und maximal 90 Tage. ii. Passwörter für Servicekonten müssen innerhalb von 366 Tagen (inklusive) ablaufen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Verfahren: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
PM-5: Systeminventar Erstellen und aktualisieren Sie kontinuierlich ein Inventar der Organisationssysteme.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
PM-5: Systeminventar Erstellen und aktualisieren Sie kontinuierlich ein Inventar der Organisationssysteme.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
PM-5: Systeminventar Erstellen und aktualisieren Sie kontinuierlich ein Inventar der Organisationssysteme.

vpc-network-acl-unused-überprüfen

Diese Regel stellt sicher, dass Amazon Virtual Private Cloud (VPC)-Netzwerkzugriffskontrolllisten verwendet werden. Die Überwachung ungenutzter Netzwerkzugriffskontrolllisten kann zu einer genauen Inventarisierung und Verwaltung Ihrer Umgebung beitragen.
PM-5: Systeminventar Erstellen und aktualisieren Sie kontinuierlich ein Inventar der Organisationssysteme.

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
RA-5: Überwachen und Scannen von Schwachstellen Führen Sie alle dreißig (30) Tage Überwachungen und Scans auf Schwachstellen im System und in den gehosteten Anwendungen durch, bevor Sie ein neues Informationssystem in das Behördennetzwerk aufnehmen, um die Abhilfemaßnahmen zu verifizieren und wenn neue Sicherheitslücken, identifiziert und gemeldet werden, die möglicherweise das System betreffen. vuln-scans-performed(Prozessüberprüfung) Stellen Sie sicher, dass Schwachstellenscans gemäß Ihren Compliance-Anforderungen durchgeführt werden. Die Häufigkeit der Scans, die verwendeten Tools und die Verwendung der Ergebnisse sollten von Ihrer Organisation festgelegt werden.
SA-10: Konfigurationsmanagement für Entwickler (e.) Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SA-10: Konfigurationsmanagement für Entwickler (e.) Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
SA-10: Konfigurationsmanagement für Entwickler (e.) Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SA-10: Konfigurationsmanagement für Entwickler (a) (c.) Führen Sie das Konfigurationsmanagement während des Entwurfs, der Entwicklung, der Implementierung und des Betriebs des Systems, der Komponenten oder des Services durch. Implementieren Sie nur von der Organisation genehmigte Änderungen am System, an der Komponente oder am Service;

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SC-4: Informationen in gemeinsam genutzten Systemressourcen Verhindern Sie die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s3- bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7: Grenzschutz Überwachen und kontrollieren Sie die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Organisationsnetzwerken getrennt sind; und stellen Sie Verbindungen zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzvorrichtungen gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7: Grenzschutz (CE-9) | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr Erkennen und blockieren Sie ausgehenden Kommunikationsverkehr, der eine Bedrohung für externe Systeme darstellt, und überprüfen Sie die Identität interner Benutzer, die mit verweigertem Kommunikationsverkehr in Verbindung gebracht werden.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
SC-7: Grenzschutz (CE-9) | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr Erkennen und blockieren Sie ausgehenden Kommunikationsverkehr, der eine Bedrohung für externe Systeme darstellt, und überprüfen Sie die Identität interner Benutzer, die mit verweigertem Kommunikationsverkehr in Verbindung gebracht werden.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
SC-7: Grenzschutz (CE-9) | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr Erkennen und blockieren Sie ausgehenden Kommunikationsverkehr, der eine Bedrohung für externe Systeme darstellt, und überprüfen Sie die Identität interner Benutzer, die mit verweigertem Kommunikationsverkehr in Verbindung gebracht werden.

api-gw-associated-with-WAF

AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
SC-7: Grenzschutz (IRS-definiert) Behörden müssen den Grenzschutz (in der Regel mithilfe von Firewalls) an Vertrauensgrenzen implementieren und verwalten. Alle Vertrauensgrenzen werden überwacht und der grenzüberschreitende Kommunikationsverkehr muss kontrolliert werden.

netfw-policy-rule-group-verknüpft

Eine AWS Netzwerk-Firewall-Richtlinie definiert, wie Ihre Firewall den Verkehr in einer Amazon VPC überwacht und verarbeitet. Sie konfigurieren statusfreie und statusbehaftete Regelgruppen, um Pakete und Datenverkehrsströme zu filtern, und Sie definieren den standardmäßigen Umgang mit Datenverkehr.
SC-7: Grenzschutz (IRS-definiert) Behörden müssen den Grenzschutz (in der Regel mithilfe von Firewalls) an Vertrauensgrenzen implementieren und verwalten. Alle Vertrauensgrenzen werden überwacht und der grenzüberschreitende Kommunikationsverkehr muss kontrolliert werden.

netfw-stateless-rule-group-nicht leer

Eine AWS Netzwerkfirewall-Regelgruppe enthält Regeln, die definieren, wie Ihre Firewall den Verkehr in Ihrer VPC verarbeitet. Wenn eine leere statuslose Regelgruppe in einer Firewall-Richtlinie vorhanden ist, verarbeitet sie keinen Datenverkehr.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8: Vertraulichkeit und Integrität von Übertragungen (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12: Einrichtung und Verwaltung kryptografischer Schlüssel Wenn Kryptografie innerhalb des Systems eingesetzt wird, muss die Behörde kryptografische Schlüssel gemäß den folgenden zentralen Verwaltungsanforderungen einrichten und verwalten: NIST SP 800-57, Empfehlung für die Schlüsselmanagement und die Generierung, Verteilung, Speicherung, den Zugriff auf und die Vernichtung von Schlüsseln.

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-12: Einrichtung und Verwaltung kryptografischer Schlüssel Wenn Kryptografie innerhalb des Systems eingesetzt wird, muss die Behörde kryptografische Schlüssel gemäß den folgenden zentralen Verwaltungsanforderungen einrichten und verwalten: NIST SP 800-57, Empfehlung für die Schlüsselmanagement und die Generierung, Verteilung, Speicherung, den Zugriff auf und die Vernichtung von Schlüsseln.

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

api-gw-cache-enabled-und-verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

opensearch-https-required

Da sensible Daten existieren können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS für Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert ist.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

ec2- ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13: Kryptografischer Schutz Implementieren Sie die folgenden Kryptografietypen, die für die einzelnen kryptografischen Verwendungen erforderlich sind: Aktueller FIPS-140-validierter Verschlüsselungsmechanismus, NIST 800-52, Guidelines for the Selection, Configuration and Use von Transport Layer Security (TLS) Implementations, Verschlüsselung während der Übertragung (Payload-Verschlüsselung). Die Verwendung von SHA-1 für digitale Signaturen ist untersagt.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-23: Sitzungsauthentizität Schützen Sie die Authentizität von Kommunikationssitzungen.

ec2-imdsv2-check

Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

backup-recovery-point-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

ec2- ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28: Schutz von Informationen im Ruhezustand (CE-1) Kryptografischer Schutz Implementieren Sie kryptografische Mechanismen, um die unbefugte Offenlegung und Änderung von FTI im Ruhezustand auf Computersystemen von Endbenutzern (d. h. Desktop-Computern, Laptops, Mobilgeräten, mobilen Wechseldatenträgern) in nichtflüchtigen Speichern zu verhindern.

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass beim täglichen Einschalten und beim Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.).

instance-managed-by-systemsec2-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass beim täglichen Einschalten und beim Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.).

managedinstance-association-compliance-statusec2- -check

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass beim täglichen Einschalten und beim Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.).

managedinstance-patch-compliance-statusec2- -check

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass beim täglichen Einschalten und beim Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.).

ecs-fargate-latest-platform-Version

Sicherheitsupdates und Patches werden automatisch für Ihre AWS Fargate-Aufgaben bereitgestellt. Wenn ein Sicherheitsproblem gefunden wird, das eine AWS Fargate-Plattformversion betrifft, AWS wird die Plattformversion gepatcht. Um Sie bei der Patchverwaltung Ihrer Amazon Elastic Container Service (ECS) -Aufgaben zu unterstützen, auf denen AWS Fargate ausgeführt wird, aktualisieren Sie Ihre eigenständigen Service-Aufgaben, sodass sie die neueste Plattformversion verwenden.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass beim täglichen Einschalten und beim Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.).

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2: Behebung von Fehlern (IRS-definiert) Die Agentur stellt sicher, dass bei täglichem Einschalten und Anschluss an das Netzwerk der Agentur die Arbeitsstationen (wie in den Richtlinien definiert, einschließlich Fernverbindungen über GFE-Workstations) überprüft werden, um sicherzustellen, dass die neuesten von der Behörde genehmigten Patches installiert wurden und dass alle fehlenden oder neuen Patches bei Bedarf installiert oder auf andere Weise überprüft werden, und zwar mindestens alle 24 Stunden (außer an Wochenenden, Feiertagen usw.)

rds-automatic-minor-version-Upgrade-fähig

Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service (RDS)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können.
SI-4: Systemüberwachung Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Anzeichen für potenzielle Angriffe gemäß [Zuordnung: von der Organisation festgelegte Überwachungsziele]; und 2. nicht autorisierte lokale Verbindungen, Netzwerkverbindungen und Remoteverbindungen; b. Sie identifiziert die unbefugte Nutzung des Informationssystems durch [Zuordnung: von der Organisation festgelegte Techniken und Methoden]; c. Sie verwendet Überwachungsgeräte: 1. Strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wichtige Informationen zu sammeln; und 2. An Ad-hoc-Stellen innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für das Unternehmen von Interesse sind; d. Schützt Informationen, die mit Tools zur Überwachung von Angriffen gewonnen werden, vor unbefugtem Zugriff, Änderung und Löschung;

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4: Systemüberwachung Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Anzeichen für potenzielle Angriffe gemäß [Zuordnung: von der Organisation festgelegte Überwachungsziele]; und 2. nicht autorisierte lokale Verbindungen, Netzwerkverbindungen und Remoteverbindungen; b. Sie identifiziert die unbefugte Nutzung des Informationssystems durch [Zuordnung: von der Organisation festgelegte Techniken und Methoden]; c. Sie verwendet Überwachungsgeräte: 1. Strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wichtige Informationen zu sammeln; und 2. An Ad-hoc-Stellen innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für das Unternehmen von Interesse sind; d. Schützt Informationen, die mit Tools zur Überwachung von Angriffen gewonnen werden, vor unbefugtem Zugriff, Änderung und Löschung;

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4: Systemüberwachung Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Anzeichen für potenzielle Angriffe gemäß [Zuordnung: von der Organisation festgelegte Überwachungsziele]; und 2. nicht autorisierte lokale Verbindungen, Netzwerkverbindungen und Remoteverbindungen; b. Sie identifiziert die unbefugte Nutzung des Informationssystems durch [Zuordnung: von der Organisation festgelegte Techniken und Methoden]; c. Sie verwendet Überwachungsgeräte: 1. Strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wichtige Informationen zu sammeln; und 2. An Ad-hoc-Stellen innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für das Unternehmen von Interesse sind; d. Schützt Informationen, die mit Tools zur Überwachung von Angriffen gewonnen werden, vor unbefugtem Zugriff, Änderung und Löschung;

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4: Systemüberwachung Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Anzeichen für potenzielle Angriffe gemäß [Zuordnung: von der Organisation festgelegte Überwachungsziele]; und 2. nicht autorisierte lokale Verbindungen, Netzwerkverbindungen und Remoteverbindungen; b. Sie identifiziert die unbefugte Nutzung des Informationssystems durch [Zuordnung: von der Organisation festgelegte Techniken und Methoden]; c. Sie verwendet Überwachungsgeräte: 1. Strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wichtige Informationen zu sammeln; und 2. An Ad-hoc-Stellen innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für das Unternehmen von Interesse sind; d. Schützt Informationen, die mit Tools zur Überwachung von Angriffen gewonnen werden, vor unbefugtem Zugriff, Änderung und Löschung;

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4: Systemüberwachung Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Anzeichen für potenzielle Angriffe gemäß [Zuordnung: von der Organisation festgelegte Überwachungsziele]; und 2. nicht autorisierte lokale Verbindungen, Netzwerkverbindungen und Remoteverbindungen; b. Sie identifiziert die unbefugte Nutzung des Informationssystems durch [Zuordnung: von der Organisation festgelegte Techniken und Methoden]; c. Sie verwendet Überwachungsgeräte: 1. Strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wichtige Informationen zu sammeln; und 2. An Ad-hoc-Stellen innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für das Unternehmen von Interesse sind; d. Schützt Informationen, die mit Tools zur Überwachung von Angriffen gewonnen werden, vor unbefugtem Zugriff, Änderung und Löschung;

ec-2 instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Instance von Amazon Elastic Compute Cloud (Amazon EC2) in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

opensearch-audit-logging-enabled

Stellen Sie sicher, dass die Audit-Protokollierung für Ihre Amazon OpenSearch Service-Domains aktiviert ist. Mit der Audit-Protokollierung können Sie Benutzeraktivitäten auf Ihren OpenSearch Domains verfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

redshift-audit-logging-enabled

Aktivieren Sie die Prüfungsprotokollierung, um Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Amazon-Redshift-Cluster zu erfassen.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

s3- bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
SI-4: Systemüberwachung (IRS-definiert) Alle Internetzugangspunkte/Portale müssen Header-Informationen über eingehenden und ausgehenden Datenverkehr erfassen und mindestens ein Jahr lang speichern, mit Ausnahme zugelassener „anonymer“ Internetverbindungen, die vom CISO der Behörde genehmigt werden können.

cw-loggroup-retention-period-überprüfen

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.
SI-7: Software-, Firmware- und Informationsintegrität Verwenden Sie Tools zur Integritätsprüfung, um unbefugte Änderungen an der folgenden Software, Firmware und Informationen zu erkennen: Systemkernel, Treiber, Firmware (z. B. BIOS, UEFI), Software (z. B. Betriebssystem, Anwendungen, Middleware) und Sicherheitsattributen.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-7: Software-, Firmware- und Informationsintegrität Verwenden Sie Tools zur Integritätsprüfung, um unbefugte Änderungen an der folgenden Software, Firmware und Informationen zu erkennen: Systemkernel, Treiber, Firmware (z. B. BIOS, UEFI), Software (z. B. Betriebssystem, Anwendungen, Middleware) und Sicherheitsattributen.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
SI-7: Software-, Firmware- und Informationsintegrität Verwenden Sie Tools zur Integritätsprüfung, um unbefugte Änderungen an der folgenden Software, Firmware und Informationen zu erkennen: Systemkerne, Treiber, Firmware (z. B. BIOS, UEFI), Software (z. B. Betriebssystem, Anwendungen, Middleware) und Sicherheitsattributen.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

dynamodb-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB DynamoDB-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

ebs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

ec2--Plan resources-protected-by-backup

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

efs-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

fsx-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon FSx-Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

rds-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

aurora-resources-protected-by-Backup-Plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Aurora Aurora-Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

backup-plan-min-frequency-and-min-retention-check

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

backup-recovery-point-manual-löschen-deaktiviert

Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

backup-recovery-point-minimum-Aufbewahrungsprüfung

Um bei Datensicherungsprozessen zu helfen, stellen Sie sicher, dass für Ihre AWS Backup-Wiederherstellungspunkte eine Mindestaufbewahrungsdauer festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie den Parameter requiredRetentionDays (Standardkonfiguration: 35) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

s-3 lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-12: Informationsmanagement und Aufbewahrung Verarbeiten und speichern Sie die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

s-3 bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for IRS 1075.