Bewährte Methoden für die Implementierung von NIST 800-53 Rev. 4 - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Implementierung von NIST 800-53 Rev. 4

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800-53- und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800-53-Steuerelemente. Eine Kontrolle nach NIST 800-53 kann mehreren Config-Regeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Dieses Konformitätspaket wurde von AWS Security Assurance Services LLC (AWS SAS) validiert. Dabei handelt es sich um ein Team von qualifizierten Sicherheitsgutachtern (QSAs), HITRUST-zertifizierten Common Security Framework Practitioners (CCSFPs) und Compliance-Experten, die für die Beratung und Bewertung verschiedener Branchen-Frameworks zertifiziert sind. AWS Die Experten von SAS haben dieses Conformance Pack so konzipiert, dass sich ein Kunde an einer Untergruppe der NIST 800-53 orientieren kann.

Kontroll-ID Beschreibung der Kontrolle AWS Config Regel Empfehlungen zu
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

secretsmanager-scheduled-rotation-success-überprüfen

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-2(1) Die Organisation wendet automatisierte Mechanismen an, um die Verwaltung von Informationssystemkonten zu unterstützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-2(3) Das Informationssystem deaktiviert automatisch inaktive Konten nach [Zuordnung: organisationsdefinierter Zeitraum].

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien von allen an Ihren S3-Bucket AWS-Regionen , wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AC-2(4) Das Informationssystem prüft automatisch Aktionen wie die Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [Zuordnung: von der Organisation designierte Mitarbeiter oder Rollen].

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(12)(a) Die Organisation: a. Überwacht die Konten des Informationssystems im Hinblick auf [Zuordnung: von der Organisation definierte untypische Nutzung].

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-2(12)(a) Die Organisation: a. Überwacht die Konten des Informationssystems im Hinblick auf [Zuordnung: von der Organisation definierte untypische Nutzung].

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-2(f) Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen].

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2(f) Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen].

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(f) Die Organisation: f. Erstellt, aktiviert, ändert, deaktiviert und entfernt Konten im Informationssystem gemäß [Zuweisung: von der Organisation definierte Verfahren oder Bedingungen].

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

s3- bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und API-Aufrufen in der AWS Management Console bei der Nichtabstreitbarkeit helfen. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Datenereignissen des Simple Storage Service (Amazon S3) hilft bei der Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS-Konto -Konto, das auf einen Amazon S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-2(g) Die Organisation: g. Überwacht die Verwendung von Konten im Informationssystem.

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

secretsmanager-scheduled-rotation-success-überprüfen

Diese Regel stellt sicher, dass AWS Secrets Manager Manager-Geheimnisse gemäß dem Rotationsplan erfolgreich rotiert wurden. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls es kompromittiert wird.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-group-has-users-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2(j) Die Organisation: j. Überprüft Konten auf deren Einhaltung der Kontoverwaltungsanforderungen [Zuweisung: von der Organisation festgelegte Häufigkeit].

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

s-3 bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-group-has-users-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3 Das Informationssystem setzt genehmigte Autorisierungen für den logischen Zugriff auf Informationen und Systemressourcen gemäß den geltenden Zugriffskontrollrichtlinien durch.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domänen, die sich innerhalb einer Amazon VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domänen, die öffentliche Endpunkte nutzen, über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-4 Das Informationssystem setzt genehmigte Autorisierungen für die Kontrolle des Informationsflusses innerhalb des Systems und zwischen miteinander vernetzten Systemen auf der Grundlage von [Zuweisung: von der Organisation definierte Richtlinien zur Kontrolle des Informationsflusses] durch.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
AC-5c Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
AC-5c Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung.

iam-group-has-users-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
AC-5c Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-5c Die Organisation: c. Definiert Zugriffsberechtigungen für das Informationssystem zur Unterstützung der Aufgabentrennung.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

s3- bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

emr-kerberos-enabled

Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-group-has-users-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-user-no-policies-überprüfen

Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

ec2-imdsv2-check

Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
AC-6 Die Organisation wendet das Prinzip der geringsten Berechtigung an und erlaubt Benutzern (oder Prozessen, die im Namen von Benutzern handeln) nur dann den Zugriff, wenn dies für die Ausführung zugewiesener Aufgaben gemäß den Unternehmenszielen und Geschäftsfunktionen notwendig ist.

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-6(10) Das Informationssystem verhindert, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, einschließlich der Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorkehrungen/Gegenmaßnahmen.

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-17(1) Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AC-17(1) Das Informationssystem überwacht und kontrolliert die Remote-Zugriffsmethoden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

alb-http-drop-invalid-Header-fähig

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
AC-17(2) Das Informationssystem implementiert kryptografische Mechanismen, um die Vertraulichkeit und Integrität von Remote-Zugriffssitzungen zu schützen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
AC-17(3) Das Informationssystem leitet alle Fernzugriffe über [Zuweisung: von der Organisation definierte Nummer] verwaltete Netzwerkzugriffskontrollpunkte weiter.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

s3- bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21(b) Die Organisation: b. Verwendet [Zuweisung: von der Organisation definierte automatisierte Mechanismen oder manuelle Prozesse], um Benutzer bei Entscheidungen hinsichtlich Informationsweitergabe/Zusammenarbeit zu unterstützen.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

cloudtrail-s3-dataevents-enabled

Die Erfassung von Datenereignissen des Simple Storage Service (Amazon S3) hilft bei der Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS-Konto -Konto, das auf einen Amazon S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien von allen an Ihren S3-Bucket AWS-Regionen , wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
AU-2(a)(d) Die Organisation: a. Stellt fest, dass das Informationssystem in der Lage ist, die folgenden Ereignisse zu prüfen: [Aufgabe: vom Unternehmen definierte überprüfbare Ereignisse]; d. Legt fest, dass die folgenden Ereignisse innerhalb des Informationssystems geprüft werden sollen: [Zuordnung: von der Organisation definierte zu prüfende Ereignisse (die in AU-2 a. definierte Teilmenge der zu prüfenden Ereignisse) zusammen mit der Häufigkeit der Prüfung (oder der Situation, die eine Prüfung für jedes identifizierte Ereignis erfordert)].

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Datenereignissen des Simple Storage Service (Amazon S3) hilft bei der Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS-Konto -Konto, das auf einen Amazon S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien von allen an Ihren S3-Bucket AWS-Regionen , wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-3 Das Informationssystem generiert Prüfprotokolle mit Informationen, aus denen hervorgeht, welche Art von Ereignis eingetreten ist, wann und wo das Ereignis stattgefunden hat, welchen Ursprung das Ereignis hat, wie es ausging und mit welchen Personen oder Subjekten das Ereignis in Verbindung steht.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
AU-6(1)(3) (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
AU-6(1)(3) (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AU-6(1)(3) (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-6(1)(3) (1) Die Organisation setzt automatisierte Mechanismen zur Integration von Prüfungs-, Analyse- und Berichtsprozessen ein, um die Prozesse der Organisation zur Untersuchung und Reaktion auf verdächtige Aktivitäten zu unterstützen. (3) Die Organisation analysiert und korreliert Prüfungsunterlagen aus verschiedenen Repositorys, um sich ein Bild über die Situation in der gesamten Organisation zu verschaffen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AU-7(1) Das Informationssystem bietet die Möglichkeit, Prüfungsunterlagen für Ereignisse von Interesse auf der Grundlage von [Zuweisung: von der Organisation definierte Prüfungsfelder in den Prüfungsunterlagen] zu verarbeiten.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-7(1) Das Informationssystem bietet die Möglichkeit, Prüfungsunterlagen für Ereignisse von Interesse auf der Grundlage von [Zuweisung: von der Organisation definierte Prüfungsfelder in den Prüfungsunterlagen] zu verarbeiten.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AU-9 Das Informationssystem schützt Prüfungsinformationen und -tools vor unbefugtem Zugriff, Änderung und Löschung.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
AU-9 Das Informationssystem schützt Prüfungsinformationen und -tools vor unbefugtem Zugriff, Änderung und Löschung.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
AU-9(2) Das Informationssystem sichert Auditaufzeichnungen [Zuordnung: von der Organisation festgelegte Häufigkeit] auf einem physisch anderen System oder einer anderen Systemkomponente als dem zu auditierenden System oder der zu auditierenden Komponente.

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen.
AU-11 Die Organisation bewahrt Prüfaufzeichnungen für [Aufgabe: organisationsdefinierter Zeitraum im Einklang mit den Richtlinien zur Aufbewahrung von Aufzeichnungen] auf, um die after-the-fact Untersuchung von Sicherheitsvorfällen zu unterstützen und die behördlichen und organisatorischen Anforderungen zur Aufbewahrung von Informationen zu erfüllen.

cw-loggroup-retention-period-überprüfen

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

api-gw-execution-logging-aktiviert

Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

cloudtrail-s3-dataevents-enabled

Die Erfassung von Datenereignissen des Simple Storage Service (Amazon S3) hilft bei der Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zum AWS-Konto , das auf einen Amazon S3 Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

rds-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

cloudtrail-enabled

AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie unter Inhalt des AWS CloudTrail Datensatzes.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien von allen an Ihren S3-Bucket AWS-Regionen , wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

vpc-flow-logs-enabled

VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
AU-12(a)(c) Das Informationssystem: a. Bietet die Fähigkeit zur Erstellung von Audit-Aufzeichnungen für die in AU-2 a. definierten auditierbaren Ereignisse bei [Zuordnung: von der Organisation definierte Informationssystemkomponenten]; c. Generiert Prüfungsunterlagen für die in AU-2 d. definierten Ereignisse mit dem in AU-3 definierten Inhalt.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

ec2- instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
CA-7(a)(b) Die Organisation entwickelt eine Strategie zur kontinuierlichen Überwachung und implementiert ein kontinuierliches Überwachungsprogramm, das Folgendes umfasst: a. Festlegung von [Zuweisung: von der Organisation definierte Kennzahlen], die überwacht werden sollen; b. Festlegung von [Zuweisung: von der Organisation festgelegte Häufigkeiten] für die Überwachung und [Zuweisung: von der Organisation festgelegte Häufigkeiten] für Bewertungen, die diese Überwachung unterstützen.

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

ec2-stopped-instance

Aktivieren Sie diese Regel, um die Basiskonfiguration von Amazon-Elastic-Compute-Cloud (Amazon-EC2)-Instances zu unterstützen, indem Sie überprüfen, ob Amazon-EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-2 Die Organisation entwickelt, dokumentiert und verwaltet unter Konfigurationskontrolle eine aktuelle Basiskonfiguration des Informationssystems.

cloudtrail-security-trail-enabled

Diese Regel trägt dazu bei, die Verwendung der AWS empfohlenen bewährten Sicherheitsmethoden für sicherzustellen AWS CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und Aktivierung AWS CloudTrail in mehreren Regionen.
CM-7(a) Die Organisation: a. Konfiguriert das Informationssystem auf eine Weise, dass nur wesentliche Funktionen bereitgestellt werden.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-7(a) Die Organisation: a. Konfiguriert das Informationssystem auf eine Weise, dass nur wesentliche Funktionen bereitgestellt werden.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(1) Die Organisation aktualisiert das Inventar der Informationssystemkomponenten als integralen Bestandteil der Installation und Demontage von Komponenten sowie der Aktualisierung von Informationssystemen.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3)(a) Die Organisation: a. Setzt automatische Mechanismen ein [Zuordnung: vom Unternehmen festgelegte Häufigkeit], um das Vorhandensein nicht autorisierter Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3)(a) Die Organisation: a. Setzt automatische Mechanismen ein [Zuordnung: vom Unternehmen festgelegte Häufigkeit], um das Vorhandensein nicht autorisierter Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(3)(a) Die Organisation: a. Setzt automatische Mechanismen ein [Zuordnung: vom Unternehmen festgelegte Häufigkeit], um das Vorhandensein nicht autorisierter Hardware-, Software- und Firmware-Komponenten im Informationssystem zu erkennen

ec2-prüfen managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9(b) Die Organisation: b. Führt Backups der im Informationssystem enthaltenen Informationen auf Systemebene durch [Zuordnung: von der Organisation festgelegte Häufigkeit, die mit den Zielen für die Wiederherstellungszeit und den Wiederherstellungspunkt vereinbar ist].

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

s3- bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

vpc-vpn-2-tunnels-up

Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

elb-cross-zone-load-Balancing aktiviert

Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
CP-10 Die Organisation sorgt dafür, dass das Informationssystem nach einer Unterbrechung, einer Beeinträchtigung oder einem Ausfall wiederhergestellt und wieder in einen bekannten Zustand versetzt wird.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
IA-2 Das Informationssystem nimmt eine eindeutige Identifizierung und Authentifizierung der Benutzer (oder Prozesse, die im Namen von Benutzern der Organisation handeln) vor.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
IA-2(1)(11) (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (11) Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Fernzugriff auf privilegierte und nichtprivilegierte Konten, so dass einer der Faktoren von einem Gerät bereitgestellt wird, das von dem System, das den Zugriff gewährt, getrennt ist, und das Gerät erfüllt [Zuordnung: von der Organisation festgelegte Anforderungen an die Stärke des Mechanismus].

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
IA-2(1)(11) (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (11) Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Fernzugriff auf privilegierte und nichtprivilegierte Konten, so dass einer der Faktoren von einem Gerät bereitgestellt wird, das von dem System, das den Zugriff gewährt, getrennt ist, und das Gerät erfüllt [Zuordnung: von der Organisation festgelegte Anforderungen an die Stärke des Mechanismus].

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren.
IA-2(1)(2)(11) (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. (11) Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Fernzugriff auf privilegierte und nichtprivilegierte Konten, so dass einer der Faktoren von einem Gerät bereitgestellt wird, das von dem System, das den Zugriff gewährt, getrennt ist, und das Gerät erfüllt [Zuordnung: von der Organisation festgelegte Anforderungen an die Stärke des Mechanismus].

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(1)(2)(11) (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten. (1) Das Informationssystem implementiert eine Multifaktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten. (11) Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Fernzugriff auf privilegierte und nichtprivilegierte Konten, so dass einer der Faktoren von einem Gerät bereitgestellt wird, das von dem System, das den Zugriff gewährt, getrennt ist, und das Gerät erfüllt [Zuordnung: von der Organisation festgelegte Anforderungen an die Stärke des Mechanismus].

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben.
IA-5(1)(a)(d)(e) Das Informationssystem ergreift für die passwortgestützte Authentifizierung folgende Maßnahmen: a. Es erzwingt eine Mindestkomplexität von [Zuweisung: vom Unternehmen festgelegte Anforderungen an Groß- und Kleinschreibung, Zeichenanzahl, Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, einschließlich Mindestanforderungen für jeden Typ]; d. Es erzwingt die minimale und maximale Gültigkeitsdauer von Passwörtern von [Zuweisung: von der Organisation festgelegte Frist für die minimale und maximale Gültigkeitsdauer]; e. Verbietet die Wiederverwendung von Passwörtern für [Zuweisung: von der Organisation festgelegte Anzahl] Generationen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
IA-5(4) Die Organisation verwendet automatisierte Tools, um festzustellen, ob Passwortauthentifikatoren stark genug sind, um [Zuweisung: von der Organisation definierte Anforderungen] zu erfüllen.

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Benchmark der Centers for Internet Security (CIS) AWS Foundations in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen. Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
IA-5(7) Die Organisation stellt sicher, dass unverschlüsselte statische Authentifikatoren nicht in Anwendungen oder Zugriffsskripts eingebettet oder in Funktionsschlüsseln gespeichert werden.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
IR-4(1) Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
IR-4(1) Die Organisation setzt automatisierte Mechanismen ein, um die Bearbeitung von Sicherheitsvorfällen zu unterstützen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
IR-6(1) Die Organisation setzt automatisierte Mechanismen ein, um die Meldung von Sicherheitsvorfällen zu unterstützen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
IR-7(1) Die Organisation setzt automatisierte Mechanismen ein, um die Verfügbarkeit von Informationen und Unterstützung im Zusammenhang mit der Reaktion auf Vorfälle zu erhöhen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
RA-5 Die Organisation: a. Scannt das Informationssystem und gehostete Anwendungen [Zuweisung: von der Organisation festgelegte Häufigkeit und/oder zufällig gemäß einem von der Organisation definierten Prozess] und bei der Identifizierung und Meldung neuer Schwachstellen, die sich möglicherweise auf das System/die Anwendungen auswirken könnten; b. Wendet Tools und Techniken zum Scannen von Schwachstellen an, die die Interoperabilität zwischen den Tools erleichtern und Teile des Schwachstellenmanagements automatisieren, indem für folgende Aktivitäten Standards angewendet werden: 1. Aufzählung von Plattformen, Softwarefehlern und ungeeigneten Konfigurationen; 2. Formatierung von Checklisten und Testverfahren; und 3. Messung der Auswirkungen von Schwachstellen; c. Analysiert Scanberichte über Schwachstellen und Ergebnisse von Sicherheitskontrollbewertungen; d. Behebt legitime Schwachstellen [Zuweisung: von der Organisation festgelegte Reaktionszeiten] gemäß einer Risikobewertung der Organisation; und e. Leitet die Informationen aus dem Schwachstellenscan und den Sicherheitskontrollbewertungen an [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] weiter, um ähnliche Schwachstellen in anderen Informationssystemen (d. h. Systemschwächen oder -mängel) zu beseitigen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
RA-5 Die Organisation: a. Scannt das Informationssystem und gehostete Anwendungen [Zuweisung: von der Organisation festgelegte Häufigkeit und/oder zufällig gemäß einem von der Organisation definierten Prozess] und bei der Identifizierung und Meldung neuer Schwachstellen, die sich möglicherweise auf das System/die Anwendungen auswirken könnten; b. Wendet Tools und Techniken zum Scannen von Schwachstellen an, die die Interoperabilität zwischen den Tools erleichtern und Teile des Schwachstellenmanagements automatisieren, indem für folgende Aktivitäten Standards angewendet werden: 1. Aufzählung von Plattformen, Softwarefehlern und ungeeigneten Konfigurationen; 2. Formatierung von Checklisten und Testverfahren; und 3. Messung der Auswirkungen von Schwachstellen; c. Analysiert Scanberichte über Schwachstellen und Ergebnisse von Sicherheitskontrollbewertungen; d. Behebt legitime Schwachstellen [Zuweisung: von der Organisation festgelegte Reaktionszeiten] gemäß einer Risikobewertung der Organisation; und e. Leitet die Informationen aus dem Schwachstellenscan und den Sicherheitskontrollbewertungen an [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen] weiter, um ähnliche Schwachstellen in anderen Informationssystemen (d. h. Systemschwächen oder -mängel) zu beseitigen.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
SA-3(a) Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen.

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
SA-3(a) Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen.

instance-managed-by-systemsec2-manager

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-3(a) Die Organisation: a. Verwaltet das Informationssystem mithilfe von [Zuweisung: von der Organisation definierter Lebenszyklus der Systementwicklung], dem Überlegungen zur Informationssicherheit zugrunde liegen.

codebuild-project-source-repo-URL-Prüfung

Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub
SA-10 Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Durchführung von Konfigurationsmanagement während des Systems, der Komponente oder des Dienstes [Auswahl (eine oder mehrere): Entwurf; Entwicklung; Implementierung; Betrieb]; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SA-10 Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Durchführung von Konfigurationsmanagement während des Systems, der Komponente oder des Dienstes [Auswahl (eine oder mehrere): Entwurf; Entwicklung; Implementierung; Betrieb]; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
SA-10 Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Durchführung von Konfigurationsmanagement während des Systems, der Komponente oder des Dienstes [Auswahl (eine oder mehrere): Entwurf; Entwicklung; Implementierung; Betrieb]; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SA-10 Die Organisation verlangt von den Entwicklern des Informationssystems, der Systemkomponente oder des Informationssystemservices: a. Durchführung von Konfigurationsmanagement während des Systems, der Komponente oder des Dienstes [Auswahl (eine oder mehrere): Entwurf; Entwicklung; Implementierung; Betrieb]; b. Die Dokumentation, Verwaltung und Kontrolle der Integrität von Änderungen an [Zuweisung: von der Organisation definierte Konfigurationselemente im Rahmen der Konfigurationsverwaltung]; c. Die Implementierung von ausschließlich von der Organisation genehmigten Änderungen am System, der Komponente oder dem Service; d. Die Dokumentation von genehmigten Änderungen am System, der Komponente oder dem Service sowie der potenziellen Auswirkungen solcher Änderungen auf die Sicherheit; und e. Die Überwachung von Sicherheitslücken und deren Behebung innerhalb des Systems, der Komponente oder des Services und die Meldung der Ergebnisse an [Zuweisung: von der Organisation ernanntes Personal].

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SC-2 Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems.

iam-group-has-users-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren.
SC-2 Das Informationssystem trennt Benutzerfunktionen (einschließlich Benutzerschnittstellenservices) von den Verwaltungsfunktionen des Informationssystems.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
SC-4 Das Informationssystem verhindert die unbefugte und unbeabsichtigte Übertragung von Informationen aus gemeinsam genutzten Systemressourcen.

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

autoscaling-group-elb-healthcheck-erforderlich

Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets, um die Datenverfügbarkeit sicherzustellen.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

elb-cross-zone-load-Balancing aktiviert

Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SC-5 Das Informationssystem schützt vor den folgenden Arten von Denial-of-Service-Angriffen oder begrenzt deren Auswirkungen: [Zuweisung: von der Organisation definierte Arten von Denial-of-Service-Angriffen oder Verweise auf Quellen für solche Informationen] durch den Einsatz von [Zuweisung: von der Organisation definierte Sicherheitsvorkehrungen].

rds-instance-deletion-protection-aktiviert

Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

ec2- instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domänen, die sich innerhalb einer Amazon VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domänen, die öffentliche Endpunkte nutzen, über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s-3 bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

alb-http-drop-invalid-Header-fähig

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-7 Das Informationssystem: a. Überwacht und kontrolliert die Kommunikation an der Außengrenze des Systems und an wichtigen internen Grenzen innerhalb des Systems; b. Implementiert Subnetze für öffentlich zugängliche Systemkomponenten, die [Auswahl: physisch; logisch] von internen Organisationsnetzen getrennt sind; und c. Stellt eine Verbindung zu externen Netzwerken oder Informationssystemen nur über verwaltete Schnittstellen her, die aus Grenzschutzgeräten bestehen, die gemäß einer Sicherheitsarchitektur der Organisation angeordnet sind.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Verkehr bleibt sicher in der AWS Cloud. Domänen, die sich innerhalb einer Amazon VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domänen, die öffentliche Endpunkte nutzen, über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

internet-gateway-authorized-vpc-nur

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Internet-Gateways nur mit autorisierter Amazon Virtual Private Cloud (Amazon VPC) verbunden sind. Internet-Gateways ermöglichen den bidirektionalen Internetzugang zur und von der Amazon VPC, was möglicherweise zu einem unbefugten Zugriff auf Amazon-VPC-Ressourcen führen kann.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

ebs-snapshot-public-restorable-überprüfen

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

ec-2 instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

s3-Blöcke account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

s3- bucket-policy-grantee-check

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie s3_ bucket_policy_grantee_check aktivieren. Diese Regel prüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen angegebenen AWS Principals, Verbundbenutzer, Service Principals, IP-Adressen oder Amazon Virtual Private Cloud (Amazon VPC) -IDs eingeschränkt ist.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(3) Die Organisation begrenzt die Anzahl der externen Netzwerkverbindungen zum Informationssystem.

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

alb-http-drop-invalid-Header-fähig

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

s3- bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] der übermittelten Informationen.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

alb-http-drop-invalid-Header-fähig

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

s3- bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-8(1) Das Informationssystem setzt kryptographische Mechanismen ein, um während der Übertragung [Auswahl (eine oder mehrere Optionen): eine unbefugte Offenlegung von Informationen zu verhindern; Änderungen an Informationen zu erkennen], sofern sie nicht anderweitig durch [Zuweisung: von der Organisation definierte alternative physische Schutzmaßnahmen] geschützt sind.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-12 Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln].

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Kryptoperiode erreicht haben.
SC-12 Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln].

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
SC-12 Die Organisation erstellt und verwaltet kryptografische Schlüssel für die erforderliche Kryptografie, die innerhalb des Informationssystems eingesetzt wird, in Übereinstimmung mit [Zuordnung: von der Organisation festgelegte Anforderungen für die Erzeugung, Verteilung, Speicherung, den Zugriff und die Vernichtung von Schlüsseln].

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

api-gw-cache-enabled-und-verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

s3-aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Das Informationssystem implementiert [Zuordnung: von der Organisation definierte kryptografische Verwendungszwecke und Art der für jeden Verwendungszweck erforderlichen Kryptografie] in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Richtlinien, Grundsätzen, Vorschriften und Standards.

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13 Das Informationssystem setzt FIPS-validierte oder NSA-zugelassene Kryptographie in Übereinstimmung mit den geltenden Bundesgesetzen, Executive Orders, Direktiven, Richtlinien, Vorschriften und Standards ein.

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel (CMK) verschlüsselt.
SC-23 Das Informationssystem schützt die Authentizität der Kommunikationssitzungen.

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Das Informationssystem schützt die Authentizität der Kommunikationssitzungen.

alb-http-drop-invalid-Header-fähig

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELB) so konfiguriert sind, dass sie HTTP-Header löschen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-23 Das Informationssystem schützt die Authentizität der Kommunikationssitzungen.

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

api-gw-cache-enabled-und-verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

cloudwatch-log-group-encrypted

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

efs-encrypted-check

Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

encrypted-volumes

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store (Amazon-EBS)-Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

s3- bucket-default-lock-enabled

Stellen Sie sicher, dass für Ihren Amazon Simple Storage Service (Amazon S3)-Bucket standardmäßig eine Sperre aktiviert ist. Zum Schutz eventuell vorhandener sensibler Daten in S3-Buckets müssen Sie Objektsperren für Daten im Ruhezustand erzwingen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

s3- bucket-server-side-encryption -aktiviert

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

ec2- ebs-encryption-by-default

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Das Informationssystem schützt die [Auswahl (eine oder mehrere): Vertraulichkeit; Integrität] von [Zuweisung: von der Organisation definierte ruhende Informationen].

rds-storage-encrypted

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-36 Die Organisation verteilt [Zuweisung: organisationsdefinierte Verarbeitung und Speicherung] auf mehrere physische Standorte.

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-36 Die Organisation verteilt [Zuweisung: organisationsdefinierte Verarbeitung und Speicherung] auf mehrere physische Standorte.

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen.
SI-2(2) Die Organisation setzt automatisierte Mechanismen [Zuordnung: von der Organisation festgelegte Häufigkeit] ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen.

ec2-prüfen managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
SI-2(2) Die Organisation setzt automatisierte Mechanismen [Zuordnung: von der Organisation festgelegte Häufigkeit] ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-2(2) Die Organisation setzt automatisierte Mechanismen [Zuordnung: von der Organisation festgelegte Häufigkeit] ein, um den Zustand der Komponenten des Informationssystems im Hinblick auf die Behebung von Fehlern zu bestimmen.

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
SI-4(1) Die Organisation verbindet und konfiguriert die einzelnen Intrusion-Detection-Tools zu einem informationssystemweiten Intrusion-Detection-System.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(2) Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(2) Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4(2) Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(2) Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4(2) Die Organisation setzt automatisierte Tools ein, um die Analyse von Ereignissen nahezu in Echtzeit zu unterstützen.

ec-2 instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Instance von Amazon Elastic Compute Cloud (Amazon EC2) in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
SI-4(4) Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr [Zuordnung: vom Unternehmen festgelegte Häufigkeit] auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(4) Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr [Zuordnung: vom Unternehmen festgelegte Häufigkeit] auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4(4) Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr [Zuordnung: vom Unternehmen festgelegte Häufigkeit] auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(4) Das Informationssystem überwacht den ein- und ausgehenden Kommunikationsverkehr [Zuordnung: vom Unternehmen festgelegte Häufigkeit] auf ungewöhnliche oder unzulässige Aktivitäten oder Bedingungen.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4(5) Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren].

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(5) Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren].

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4(5) Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren].

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(5) Das Informationssystem alarmiert [Zuweisung: von der Organisation ernanntes Personal oder definierte Rollen], wenn die folgenden Anzeichen für eine bestehende oder potenzielle Gefährdung auftreten: [Zuweisung: von der Organisation definierte Gefährdungsindikatoren].

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4(16) Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(16) Die Organisation korreliert Informationen aus Überwachungstools, die im gesamten Informationssystem eingesetzt werden.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

guardduty-non-archived-findings

Amazon GuardDuty hilft Ihnen dabei, die Auswirkungen eines Vorfalls zu verstehen, indem es die Ergebnisse nach Schweregrad klassifiziert: niedrig, mittel und hoch. Diese Klassifizierungen können Sie zur Festlegung von entsprechenden Strategien und Prioritäten zur Behebung solcher Vorfälle verwenden. Mit dieser Regel können Sie optional daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) und daysHighSev (Config Default: 1) für nicht archivierte Ergebnisse festlegen, wie es die Richtlinien Ihrer Organisation erfordern.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

alb-waf-enabled

Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto.
SI-4(a)(b)(c) Die Organisation: a. Überwacht das Informationssystem und erkennt: 1. Angriffe und Indikatoren für potenzielle Angriffe in Übereinstimmung mit [Zuweisung: von der Organisation festgelegte Überwachungsziele]; und 2. Nicht autorisierte lokale Verbindungen sowie Netzwerk- und Remoteverbindungen; b. Identifiziert die unbefugte Nutzung des Informationssystems durch [Zuweisung: von der Organisation festgelegte Techniken und Methoden]; c. Verwendet Überwachungsgeräte: i. strategisch innerhalb des Informationssystems, um von der Organisation festgelegte wesentliche Informationen zu sammeln; und ii) an Ad-hoc-Standorten innerhalb des Systems, um bestimmte Arten von Vorgängen zu verfolgen, die für die Organisation von Interesse sind.

ec-2 instance-detailed-monitoring-enabled

Aktivieren Sie diese Regel, um die Überwachung der Amazon Elastic Compute Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt.
SI-7 Die Organisation verwendet Tools zur Integritätsprüfung, um unbefugte Änderungen an [Zuweisung: von der Organisation definierte Software, Firmware und Informationen] zu erkennen.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
SI-7(1) Das Informationssystem führt eine Integritätsprüfung von [Zuordnung: organisationsdefinierte Software, Firmware und Informationen] [Auswahl (eine oder mehrere): beim Start; bei [Zuordnung: organisationsdefinierte Übergangszustände oder sicherheitsrelevante Ereignisse]; [Zuordnung: organisationsdefinierte Häufigkeit]] durch.

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-7(1) Das Informationssystem führt eine Integritätsprüfung von [Zuordnung: organisationsdefinierte Software, Firmware und Informationen] [Auswahl (eine oder mehrere): beim Start; bei [Zuordnung: organisationsdefinierte Übergangszustände oder sicherheitsrelevante Ereignisse]; [Zuordnung: organisationsdefinierte Häufigkeit]] durch.

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält.
SI-7(1) Das Informationssystem führt eine Integritätsprüfung von [Zuordnung: organisationsdefinierte Software, Firmware und Informationen] [Auswahl (eine oder mehrere): beim Start; bei [Zuordnung: organisationsdefinierte Übergangszustände oder sicherheitsrelevante Ereignisse]; [Zuordnung: organisationsdefinierte Häufigkeit]] durch.

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

db-instance-backup-enabled

Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

rds-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

ebs-in-backup-plan

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Die Organisation verarbeitet und speichert die Informationen innerhalb des Informationssystems und die aus dem System ausgegebenen Informationen gemäß den geltenden Bundesgesetzen, Verordnungen, Richtlinien, Richtlinien, Vorschriften, Standards und betrieblichen Anforderungen.

cw-loggroup-retention-period-überprüfen

Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800-53 rev 4.