Bewährte Betriebspraktiken für NIST 800-53 Rev. 5 - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Betriebspraktiken für NIST 800-53 Rev. 5

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800-53-Regeln und den AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800-53-Steuerelemente. Eine NIST 800-53-Steuerung kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID Beschreibung der Kontrolle AWS Config Empfehlungen
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(4) Kontoverwaltung | Automatisierte Prüfungsaktionen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-2(12) Kontoverwaltung | Kontoüberwachung bei untypischer Nutzung

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AC-2 Kontenverwaltung

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-2 Kontenverwaltung

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2 Kontenverwaltung

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontenverwaltung

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2 Kontenverwaltung

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2 Kontenverwaltung

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-2 Kontenverwaltung

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werdenIMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

ec-2 instance-profile-attached

EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

access-keys-rotated

Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer IAM Unternehmenspasswortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
AC-3(15) Durchsetzung des Zugriffs | Diskretionäre und obligatorische Zugriffskontrolle

secretsmanager-rotation-enabled-check

Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird.
AC-3 Durchsetzung des Zugriffs

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
AC-3 Durchsetzung des Zugriffs

ec2-imdsv2-check

Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werdenIMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
AC-3 Durchsetzung des Zugriffs

ec-2 instance-profile-attached

EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
AC-3 Durchsetzung des Zugriffs

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-3 Durchsetzung des Zugriffs

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-3 Durchsetzung des Zugriffs

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-3 Durchsetzung des Zugriffs

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3 Durchsetzung des Zugriffs

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
AC-3 Durchsetzung des Zugriffs

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Durchsetzung des Zugriffs

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Durchsetzung des Zugriffs

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Durchsetzung des Zugriffs

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-3 Durchsetzung des Zugriffs

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Durchsetzung des Zugriffs

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3 Durchsetzung des Zugriffs

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3 Durchsetzung des Zugriffs

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3 Durchsetzung des Zugriffs

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-3 Durchsetzung des Zugriffs

iam-user-unused-credentials-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3 Durchsetzung des Zugriffs

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-3 Durchsetzung des Zugriffs

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
AC-3 Durchsetzung des Zugriffs

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-3 Durchsetzung des Zugriffs

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
AC-3 Durchsetzung des Zugriffs

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3 Durchsetzung des Zugriffs

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-3 Durchsetzung des Zugriffs

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3 Durchsetzung des Zugriffs

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
AC-3 Durchsetzung des Zugriffs

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3 Durchsetzung des Zugriffs

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3 Durchsetzung des Zugriffs

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-3 Durchsetzung des Zugriffs

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-4(26) Durchsetzung des Informationsflusses | Prüfungsfilteraktionen

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AC-5 Aufgabentrennung

ecs-containers-readonly-access

Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-5 Aufgabentrennung

ecs-task-definition-user-for-host-mode-check

Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-5 Aufgabentrennung

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-5 Aufgabentrennung

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-5 Aufgabentrennung

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-5 Aufgabentrennung

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2) Geringste Berechtigung | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2) Geringste Berechtigung | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2) Geringste Berechtigung | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-no-inline-policy-überprüfen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-customer-policy-blocked-kms-Aktionen

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-inline-policy-blocked-kms-Aktionen

Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(3) Geringste Berechtigung | Netzwerkzugriff auf privilegierte Befehle

iam-user-group-membership-überprüfen

AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(9) Geringste Berechtigung | Protokollierung der Nutzung privilegierter Funktionen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-6(10) Geringste Berechtigung | Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer

iam-policy-no-statements-with-full-access

Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(10) Geringste Berechtigung | Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „*“ statt „Ressource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(10) Geringste Berechtigung | Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer

iam-root-access-key-überprüfen

Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

elbv-2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

alb-http-to-https-Weiterleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
AC-17(2) Remote-Zugriff | Schutz von Vertraulichkeit und Integrität durch Verschlüsselung

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-21 Weitergabe von Informationen

autoscaling-launch-config-public-ip ist deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
AC-21 Weitergabe von Informationen

ec2- instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
AC-21 Weitergabe von Informationen

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
AC-21 Weitergabe von Informationen

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21 Weitergabe von Informationen

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21 Weitergabe von Informationen

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21 Weitergabe von Informationen

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-21 Weitergabe von Informationen

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21 Weitergabe von Informationen

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-21 Weitergabe von Informationen

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
AC-21 Weitergabe von Informationen

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-21 Weitergabe von Informationen

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
AC-21 Weitergabe von Informationen

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21 Weitergabe von Informationen

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-21 Weitergabe von Informationen

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-21 Weitergabe von Informationen

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
AC-21 Weitergabe von Informationen

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21 Weitergabe von Informationen

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21 Weitergabe von Informationen

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-21 Weitergabe von Informationen

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
AU-2 Ereignisprotokollierung

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-2 Ereignisprotokollierung

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-2 Ereignisprotokollierung

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-2 Ereignisprotokollierung

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-2 Ereignisprotokollierung

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-2 Ereignisprotokollierung

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-2 Ereignisprotokollierung

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-2 Ereignisprotokollierung

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-2 Ereignisprotokollierung

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-2 Ereignisprotokollierung

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-2 Ereignisprotokollierung

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-2 Ereignisprotokollierung

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-2 Ereignisprotokollierung

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-3 Inhalt der Prüfungsunterlagen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-3 Inhalt der Prüfungsunterlagen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-3 Inhalt der Prüfungsunterlagen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-3 Inhalt der Prüfungsunterlagen

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-3 Inhalt der Prüfungsunterlagen

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-3 Inhalt der Prüfungsunterlagen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-3 Inhalt der Prüfungsunterlagen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-3 Inhalt der Prüfungsunterlagen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-3 Inhalt der Prüfungsunterlagen

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-3 Inhalt der Prüfungsunterlagen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-3 Inhalt der Prüfungsunterlagen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-3 Inhalt der Prüfungsunterlagen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-3 Inhalt der Prüfungsunterlagen

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(1) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Automatisierte Prozessintegration

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(1) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Automatisierte Prozessintegration

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AU-6(1) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Automatisierte Prozessintegration

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AU-6(1) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Automatisierte Prozessintegration

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-6(3) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Korrelation der Repositorys für Prüfungsunterlagen

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-6(4) Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Zentrale Überprüfung und Analyse

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(5) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Integrierte Analyse von Prüfungsunterlagen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(5) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Integrierte Analyse von Prüfungsunterlagen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AU-6(5) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Integrierte Analyse von Prüfungsunterlagen

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AU-6(5) Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen | Integrierte Analyse von Prüfungsunterlagen

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-7(1) Reduzierung von Prüfungsunterlagen und Berichtserstellung | Automatische Verarbeitung

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-9(2) Schutz von Prüfungsinformationen | Speicherung auf separaten physischen Systemen oder Komponenten

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
AU-9(2) Schutz von Prüfungsinformationen | Speicherung auf separaten physischen Systemen oder Komponenten

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
AU-9(2) Schutz von Prüfungsinformationen | Speicherung auf separaten physischen Systemen oder Komponenten

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
AU-9(7) Schutz von Prüfungsinformationen | Speicherung auf einer Komponente mit einem anderen Betriebssystem

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-9 Schutz von Prüfungsinformationen

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
AU-9 Schutz von Prüfungsinformationen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Aufrufen der AWS Management Console bei der Nichtabstreitbarkeit helfen. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-9 Schutz von Prüfungsinformationen

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
AU-9 Schutz von Prüfungsinformationen

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
AU-9 Schutz von Prüfungsinformationen

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
AU-10 Nichtabstreitbarkeit

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-10 Nichtabstreitbarkeit

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-10 Nichtabstreitbarkeit

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-10 Nichtabstreitbarkeit

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-10 Nichtabstreitbarkeit

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-10 Nichtabstreitbarkeit

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-10 Nichtabstreitbarkeit

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-10 Nichtabstreitbarkeit

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-10 Nichtabstreitbarkeit

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-10 Nichtabstreitbarkeit

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-10 Nichtabstreitbarkeit

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-10 Nichtabstreitbarkeit

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-12 Generierung von Prüfungsunterlagen

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-12 Generierung von Prüfungsunterlagen

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-12 Generierung von Prüfungsunterlagen

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-12 Generierung von Prüfungsunterlagen

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-12 Generierung von Prüfungsunterlagen

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-12 Generierung von Prüfungsunterlagen

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-12 Generierung von Prüfungsunterlagen

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-12 Generierung von Prüfungsunterlagen

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-12 Generierung von Prüfungsunterlagen

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-12 Generierung von Prüfungsunterlagen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-12 Generierung von Prüfungsunterlagen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-12 Generierung von Prüfungsunterlagen

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-12 Generierung von Prüfungsunterlagen

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-14(1) Sitzungsprüfung | Systemstart

cloudtrail-enabled

AWS CloudTrail kann dabei helfen, Unwiderlegbarkeit zu gewährleisten, indem Aktionen und Aufrufe der AWS Management Console aufgezeichnet werden. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
CA-7 Kontinuierliche Überwachung

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
CA-7 Kontinuierliche Überwachung

lambda-dlq-check

Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist.
CA-7 Kontinuierliche Überwachung

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
CA-7 Kontinuierliche Überwachung

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
CA-7 Kontinuierliche Überwachung

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
CA-7 Kontinuierliche Überwachung

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
CA-7 Kontinuierliche Überwachung

s-3 event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
CA-7 Kontinuierliche Überwachung

securityhub-enabled

AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
CA-7 Kontinuierliche Überwachung

wafv2-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
CA-7 Kontinuierliche Überwachung

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
CA-7 Kontinuierliche Überwachung

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
CA-7 Kontinuierliche Überwachung

beanstalk-enhanced-health-reporting-aktiviert

AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen.
CA-7 Kontinuierliche Überwachung

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
CA-7 Kontinuierliche Überwachung

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
CA-7 Kontinuierliche Überwachung

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
CA-7 Kontinuierliche Überwachung

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
CA-7 Kontinuierliche Überwachung

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-7 Kontinuierliche Überwachung

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
CA-7 Kontinuierliche Überwachung

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
CA-7 Kontinuierliche Überwachung

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-7 Kontinuierliche Überwachung

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
CA-7 Kontinuierliche Überwachung

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

codebuild-project-artifact-encryption

Um sensible Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

rds-instance-default-admin-überprüfen

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon Relational Database Service (AmazonRDS) -Datenbank-Instance (s) zu reduzieren.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

redshift-default-admin-check

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon-Redshift-Cluster zu reduzieren.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1) Interne Systemverbindungen | Konformitätsprüfungen

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-2(2) Basiskonfiguration | Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-2 Basiskonfiguration

account-part-of-organizations

Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
CM-2 Basiskonfiguration

rds-instance-default-admin-überprüfen

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon Relational Database Service (AmazonRDS) -Datenbank-Instance (s) zu reduzieren.
CM-2 Basiskonfiguration

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-2 Basiskonfiguration

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-2 Basiskonfiguration

ec2-stopped-instance

Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CM-2 Basiskonfiguration

ec2- volume-inuse-check

Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CM-2 Basiskonfiguration

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-2 Basiskonfiguration

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-2 Basiskonfiguration

redshift-default-admin-check

Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon-Redshift-Cluster zu reduzieren.
CM-2 Basiskonfiguration

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

codebuild-project-artifact-encryption

Um sensible Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Artefakte aktiviert ist. AWS CodeBuild
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6) Kontrolle von Konfigurationsänderungen | Kryptografie-Management

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
CM-3 Kontrolle von Konfigurationsänderungen

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-3 Kontrolle von Konfigurationsänderungen

rds-instance-deletion-protection-aktiviert

Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-7 Geringste Funktionalität

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
CM-7 Geringste Funktionalität

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
CM-7 Geringste Funktionalität

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-8(1) Inventar der Systemkomponenten | Updates während der Installation und Deinstallation

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(1) Inventar der Systemkomponenten | Updates während der Installation und Deinstallation

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(2) Inventar der Systemkomponenten | Automatisierte Wartung

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3) Inventar der Systemkomponenten | Automatisierte Erkennung nicht autorisierter Komponenten

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3) Inventar der Systemkomponenten | Automatisierte Erkennung nicht autorisierter Komponenten

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(3) Inventar der Systemkomponenten | Automatisierte Erkennung nicht autorisierter Komponenten

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
CM-8(3) Inventar der Systemkomponenten | Automatisierte Erkennung nicht autorisierter Komponenten

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
CM-8 Inventar der Systemkomponenten

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8 Inventar der Systemkomponenten

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CP-2(2) Notfallplan | Kapazitätsplanung

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
CP-2(2) Notfallplan | Kapazitätsplanung

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6(1) Alternativer Speicherort | Trennung vom primären Standort

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

s3- version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-6(2) Alternativer Speicherort | Recovery Time und Recovery Point Objectives

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
CP-6 Alternativer Speicherort

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6 Alternativer Speicherort

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6 Alternativer Speicherort

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6 Alternativer Speicherort

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6 Alternativer Speicherort

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6 Alternativer Speicherort

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6 Alternativer Speicherort

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6 Alternativer Speicherort

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-9 Systemsicherung

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9 Systemsicherung

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9 Systemsicherung

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9 Systemsicherung

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-9 Systemsicherung

s3- version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-9 Systemsicherung

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-9 Systemsicherung

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-9 Systemsicherung

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
CP-9 Systemsicherung

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-9 Systemsicherung

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CP-9 Systemsicherung

s3- bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-9 Systemsicherung

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-10 Systemwiederherstellung und -rekonstitution

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Systemwiederherstellung und -rekonstitution

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Systemwiederherstellung und -rekonstitution

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10 Systemwiederherstellung und -rekonstitution

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
CP-10 Systemwiederherstellung und -rekonstitution

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-10 Systemwiederherstellung und -rekonstitution

s3- version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-10 Systemwiederherstellung und -rekonstitution

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-10 Systemwiederherstellung und -rekonstitution

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-10 Systemwiederherstellung und -rekonstitution

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-10 Systemwiederherstellung und -rekonstitution

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
CP-10 Systemwiederherstellung und -rekonstitution

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-10 Systemwiederherstellung und -rekonstitution

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
CP-10 Systemwiederherstellung und -rekonstitution

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-10 Systemwiederherstellung und -rekonstitution

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-10 Systemwiederherstellung und -rekonstitution

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
IA-2(1) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für privilegierte Konten

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(1) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für privilegierte Konten

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(1) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für privilegierte Konten

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(1) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für privilegierte Konten

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(2) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für nicht privilegierte Konten

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(2) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für nicht privilegierte Konten

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(2) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für nicht privilegierte Konten

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(2) Identifizierung und Authentifizierung (Benutzer in der Organisation) | Multi-Faktor-Authentifizierung für nicht privilegierte Konten

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(6) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – separates Gerät

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(6) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – separates Gerät

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(6) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – separates Gerät

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(6) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – separates Gerät

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(8) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – Wiedergaberesistent

iam-user-mfa-enabled

Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(8) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – Wiedergaberesistent

mfa-enabled-for-iam-Konsolenzugriff

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(8) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – Wiedergaberesistent

root-account-hardware-mfa-aktiviert

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(8) Identifizierung und Authentifizierung (Benutzer im Unternehmen) | Zugriff auf Konten – Wiedergaberesistent

root-account-mfa-enabled

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

alb-http-to-https-Weiterleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

iam-password-policy

Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
IA-5(1) Authenticator-Management | Passwortbasierte Authentifizierung

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(7) Authenticator-Management | Keine eingebetteten unverschlüsselten statischen Authentifikatoren

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
IR-4(1) Bearbeitung von Vorfällen | Automatisierte Prozesse zur Bearbeitung von Vorfällen

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
IR-4(5) Bearbeitung von Vorfällen | Automatische Systemdeaktivierung

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
RA-3(4) Risikobewertung | Prädiktive Cyberanalysen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-3 Lebenszyklus der Systementwicklung

codebuild-project-envvar-awscred-überprüfen

Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
SA-3 Lebenszyklus der Systementwicklung

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-8(19) Prinzipien der Sicherheits- und Datenschutzentwicklung | Kontinuierlicher Schutz

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-8(21) Prinzipien der Sicherheits- und Datenschutzentwicklung | Selbstanalyse

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-8(22) Prinzipien der Sicherheits- und Datenschutzentwicklung | Rechenschaftspflicht und Rückverfolgbarkeit

cloudtrail-enabled

AWS CloudTrail kann dazu beitragen, dass die Daten nicht zurückgewiesen werden können, indem sie Aktionen und Aufrufe der AWS Management Console aufzeichnen. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SA-8(25) Prinzipien der Sicherheits- und Datenschutzentwicklung | Wirtschaftliche Sicherheit

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-11(1) Tests und Bewertungen für Entwickler | Analyse statischer Codes

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-11(6) Tests und Bewertungen für Entwickler | Überprüfungen der Angriffsfläche

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-15(2) Entwicklungsprozess, Standards und Tools | Tools zur Überwachung von Sicherheit und Datenschutz

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-15(2) Entwicklungsprozess, Standards und Tools | Tools zur Überwachung von Sicherheit und Datenschutz

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-15(8) Entwicklungsprozess, Standards und Tools | Wiederverwendung von Informationen zu Bedrohungen und Schwachstellen

ec2-manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-15(8) Entwicklungsprozess, Standards und Tools | Wiederverwendung von Informationen zu Bedrohungen und Schwachstellen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5(1) Denial-of-service Schutz | Beschränken Sie die Fähigkeit, andere Systeme anzugreifen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

rds-instance-deletion-protection-aktiviert

Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

s-3 version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

ebs-optimized-instance

Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

elb-deletion-protection-enabled

Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SC-5(2) Denial-of-service Schutz | Kapazität, Bandbreite und Redundanz

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SC-5(3) Denial-of-service Schutz | Erkennung und Überwachung

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5 Denial-of-service Schutz

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-7(3) Grenzschutz | Zugangspunkte

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(3) Grenzschutz | Zugangspunkte

ec2- instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(3) Grenzschutz | Zugangspunkte

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(3) Grenzschutz | Zugangspunkte

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(3) Grenzschutz | Zugangspunkte

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(3) Grenzschutz | Zugangspunkte

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(3) Grenzschutz | Zugangspunkte

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(3) Grenzschutz | Zugangspunkte

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(3) Grenzschutz | Zugangspunkte

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(3) Grenzschutz | Zugangspunkte

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(3) Grenzschutz | Zugangspunkte

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3) Grenzschutz | Zugangspunkte

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3) Grenzschutz | Zugangspunkte

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(3) Grenzschutz | Zugangspunkte

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

alb-http-to-https-Weiterleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

account-level-public-accesss3- -blöcke-periodisch

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

s3- bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(4) Grenzschutz | Externe Telekommunikationsservices

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(5) Grenzschutz | Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(5) Grenzschutz | Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(5) Grenzschutz | Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(5) Grenzschutz | Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

ec2- instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

s3- -Block-periodisch account-level-public-access

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(9) Grenzschutz | Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

s3 bucket-server-side-encryption - aktiviert

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

sagemaker-notebook-instance-kms-schlüsselkonfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SC-7(10) Grenzschutz | Verhinderung von Exfiltrationen

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

account-level-public-accesss3- -blöcke-periodisch

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(11) Grenzschutz | Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS grundlegende Sicherheitsmethoden: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

account-level-public-accesss3- -blöcke-periodisch

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(16) Grenzschutz | Verhinderung der Erkennung von Systemkomponenten

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

account-level-public-accesss3- -blöcke-periodisch

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(21) Grenzschutz | Isolierung von Systemkomponenten

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7 Grenzschutz

autoscaling-launch-config-public-ip-deaktiviert

Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7 Grenzschutz

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7 Grenzschutz

ec-2 instances-in-vpc

Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7 Grenzschutz

no-unrestricted-route-to-igw

Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7 Grenzschutz

redshift-enhanced-vpc-routing-aktiviert

Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7 Grenzschutz

ssm-document-not-public

Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7 Grenzschutz

dms-replication-not-public

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Grenzschutz

ebs-snapshot-public-restorable-überprüfen

Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Grenzschutz

ec2- instance-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Grenzschutz

elasticsearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7 Grenzschutz

emr-master-no-public-ip

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Grenzschutz

lambda-function-public-access-verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7 Grenzschutz

lambda-inside-vpc

Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7 Grenzschutz

opensearch-in-vpc-only

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7 Grenzschutz

rds-instance-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7 Grenzschutz

rds-snapshots-public-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7 Grenzschutz

redshift-cluster-public-access-überprüfen

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7 Grenzschutz

restricted-common-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7 Grenzschutz

account-level-public-accesss3- -blöcke-periodisch

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7 Grenzschutz

s3 bucket-level-public-access - verboten

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7 Grenzschutz

s-3 bucket-public-read-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7 Grenzschutz

s3- bucket-public-write-prohibited

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7 Grenzschutz

sagemaker-notebook-no-direct-Internetzugang

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7 Grenzschutz

subnet-auto-assign-public-ip-deaktiviert

Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7 Grenzschutz

vpc-default-security-group-geschlossen

Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7 Grenzschutz

vpc-sg-open-only-to-authorized-ports

Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

elbv-2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1) Vertraulichkeit und Integrität von Übertragungen | Kryptografischer Schutz

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2) Vertraulichkeit und Integrität von Übertragungen | Handhabung vor und nach der Übertragung

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

elbv-2 acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8 Vertraulichkeit und Integrität von Übertragungen

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8 Vertraulichkeit und Integrität von Übertragungen

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8 Vertraulichkeit und Integrität von Übertragungen

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8 Vertraulichkeit und Integrität von Übertragungen

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8 Vertraulichkeit und Integrität von Übertragungen

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(2) Einrichtung und Verwaltung kryptografischer Schlüssel | Symmetrische Schlüssel

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-12(2) Einrichtung und Verwaltung kryptografischer Schlüssel | Symmetrische Schlüssel

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

alb-http-to-https-Weiterleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-12(3) Einrichtung und Verwaltung kryptografischer Schlüssel | Asymmetrische Schlüssel

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12 Einrichtung und Verwaltung kryptografischer Schlüssel

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-12 Einrichtung und Verwaltung kryptografischer Schlüssel

kms-cmk-not-scheduled-zum Löschen

Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-13 Kryptografischer Schutz

codebuild-project-artifact-encryption

Stellen Sie zum Schutz vertraulicher Daten im Speicher sicher, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-13 Kryptografischer Schutz

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-13 Kryptografischer Schutz

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13 Kryptografischer Schutz

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-13 Kryptografischer Schutz

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13 Kryptografischer Schutz

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13 Kryptografischer Schutz

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-13 Kryptografischer Schutz

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-13 Kryptografischer Schutz

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-13 Kryptografischer Schutz

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-13 Kryptografischer Schutz

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13 Kryptografischer Schutz

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13 Kryptografischer Schutz

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-13 Kryptografischer Schutz

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-13 Kryptografischer Schutz

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-13 Kryptografischer Schutz

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13 Kryptografischer Schutz

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

s3-fähig bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13 Kryptografischer Schutz

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13 Kryptografischer Schutz

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13 Kryptografischer Schutz

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3) Sitzungsauthentizität | Eindeutige, systemseitig generierte Sitzungskennungen

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(5) Sitzungsauthentizität | Zulässige Zertifizierungsstellen

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23(5) Sitzungsauthentizität | Zulässige Zertifizierungsstellen

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23 Sitzungsauthentizität

elasticsearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Sitzungsauthentizität

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Sitzungsauthentizität

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-23 Sitzungsauthentizität

opensearch-node-to-node-Verschlüsselungsprüfung

Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Sitzungsauthentizität

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Sitzungsauthentizität

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-23 Sitzungsauthentizität

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23 Sitzungsauthentizität

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23 Sitzungsauthentizität

redshift-require-tls-ssl

Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23 Sitzungsauthentizität

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

codebuild-project-artifact-encryption

Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1) Schutz von Informationen im Ruhezustand | Kryptografischer Schutz

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-28(3) Schutz von Informationen im Ruhezustand | Kryptografische Schlüssel

acm-certificate-expiration-check

Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS grundlegende Sicherheitsmethoden: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
SC-28(3) Schutz von Informationen im Ruhezustand | Kryptografische Schlüssel

cmk-backing-key-rotation-aktiviert

Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-28 Schutz von Informationen im Ruhezustand

codebuild-project-artifact-encryption

Um sensible Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-28 Schutz von Informationen im Ruhezustand

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28 Schutz von Informationen im Ruhezustand

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28 Schutz von Informationen im Ruhezustand

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-28 Schutz von Informationen im Ruhezustand

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28 Schutz von Informationen im Ruhezustand

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28 Schutz von Informationen im Ruhezustand

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28 Schutz von Informationen im Ruhezustand

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28 Schutz von Informationen im Ruhezustand

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-36(2) Verteilte Verarbeitung und Speicherung | Synchronisierung

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SC-36 Verteilte Verarbeitung und Speicherung

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SC-36 Verteilte Verarbeitung und Speicherung

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SC-36 Verteilte Verarbeitung und Speicherung

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-36 Verteilte Verarbeitung und Speicherung

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SI-2(2) Fehlerkorrektur | Status der automatisierten Fehlerkorrektur

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(2) Fehlerkorrektur | Status der automatisierten Fehlerkorrektur

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(2) Fehlerkorrektur | Status der automatisierten Fehlerkorrektur

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2(3) Fehlerkorrektur | Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen

ec2- -Manager instance-managed-by-systems

Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-2(3) Fehlerkorrektur | Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen

ec2-check managedinstance-association-compliance-status

Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
SI-2(3) Fehlerkorrektur | Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(4) Fehlerkorrektur | Automatisierte Patch-Management-Tools

ec2-check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(4) Fehlerkorrektur | Automatisierte Patch-Management-Tools

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(4) Fehlerkorrektur | Automatisierte Patch-Management-Tools

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2(5) Fehlerkorrektur | Automatische Software- und Firmware-Updates

ec2- -check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(5) Fehlerkorrektur | Automatische Software- und Firmware-Updates

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(5) Fehlerkorrektur | Automatische Software- und Firmware-Updates

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2 Fehlerkorrektur

lambda-dlq-check

Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist.
SI-2 Fehlerkorrektur

rds-enhanced-monitoring-enabled

Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
SI-2 Fehlerkorrektur

autoscaling-group-elb-healthcheck-erforderlich

Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
SI-2 Fehlerkorrektur

beanstalk-enhanced-health-reporting-aktiviert

AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen.
SI-2 Fehlerkorrektur

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-2 Fehlerkorrektur

dynamodb-throughput-limit-check

Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2 Fehlerkorrektur

ec2- -check managedinstance-patch-compliance-status

Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2 Fehlerkorrektur

elastic-beanstalk-managed-updates-aktiviert

Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2 Fehlerkorrektur

redshift-cluster-maintenancesettings-check

Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

s-3 event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-3(8) Schutz vor schädlichem Code | Erkennung nicht autorisierter Befehle

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-4(1) Systemüberwachung | Systemweites Angriffsmeldesystem

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(2) Systemüberwachung | Automatisierte Tools und Mechanismen für Echtzeitanalysen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(4) Systemüberwachung | Eingehender und ausgehender Kommunikationsverkehr

s-3 event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-4(4) Systemüberwachung | Eingehender und ausgehender Kommunikationsverkehr

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(5) Systemüberwachung | Systemseitig generierte Warnungen

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(5) Systemüberwachung | Systemseitig generierte Warnungen

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-4(5) Systemüberwachung | Systemseitig generierte Warnungen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(12) Systemüberwachung | Automatisierte, von der Organisation generierte Warnungen

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(13) Systemüberwachung | Analyse von Datenverkehrs- und Ereignismustern

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-4(20) Systemüberwachung | Privilegierte Benutzer

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-4(22) Systemüberwachung | Nicht autorisierte Netzwerkservices

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(25) Systemüberwachung | Optimierung von Netzwerkverkehrsanalysen

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4 Systemüberwachung

s-3 event-notifications-enabled

Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-4 Systemüberwachung

cloud-trail-log-file-validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-4 Systemüberwachung

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-7(1) Software-, Firmware- und Informationsintegrität | Zustandsprüfungen

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(3) Software-, Firmware- und Informationsintegrität | Zentral verwaltete Integritätstools

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

codebuild-project-artifact-encryption

Um sensible Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Artefakte aktiviert ist. AWS CodeBuild
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

dynamodb-table-encrypted-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

ec2- ebs-encryption-by-default

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

elbv2- acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

elb-tls-https-listeners-nur

Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

kinesis-stream-encrypted

Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

opensearch-https-required

Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

rds-snapshot-encrypted

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

s-3 default-encryption-kms

Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

sagemaker-notebook-instance-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

sns-encrypted-kms

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

alb-http-to-https-Umleitungsprüfung

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

api-gw-cache-enabled-und verschlüsselt

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

api-gw-ssl-enabled

Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

cloud-trail-encryption-enabled

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

efs-encrypted-check

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

elasticsearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

elb-acm-certificate-required

Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

encrypted-volumes

Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

opensearch-encrypted-at-rest

Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

rds-storage-encrypted

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

redshift-cluster-kms-enabled

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

s3- aktiviert bucket-server-side-encryption

Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

s-3 bucket-ssl-requests-only

Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

sagemaker-endpoint-configuration-kms-key-konfiguriert

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6) Software-, Firmware- und Informationsintegrität | Kryptografischer Schutz

secretsmanager-using-cmk

Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SI-7(7) Software-, Firmware- und Informationsintegrität | Integration von Erkennung und Reaktion

cloud-trail-log-file-Validierung aktiviert

Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

elasticsearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

multi-region-cloudtrail-enabled

AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

opensearch-logs-to-cloudwatch

Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

wafv2-logging-enabled

Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

api-gw-execution-logging-aktiviert

APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

cloud-trail-cloud-watch-Logs aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

cloudtrail-enabled

AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

cloudtrail-s3-dataevents-enabled

Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

elb-logging-enabled

Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

rds-logging-enabled

Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

redshift-cluster-configuration-check

Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

s-3 bucket-logging-enabled

Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-7(8) Software-, Firmware- und Informationsintegrität | Fähigkeit zur Prüfung wichtiger Ereignisse

vpc-flow-logs-enabled

Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
SI-12 Informationsmanagement und Aufbewahrung

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-12 Informationsmanagement und Aufbewahrung

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Informationsmanagement und Aufbewahrung

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-12 Informationsmanagement und Aufbewahrung

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Informationsmanagement und Aufbewahrung

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12 Informationsmanagement und Aufbewahrung

elasticache-redis-cluster-automatic-Backup-Check

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-12 Informationsmanagement und Aufbewahrung

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

dynamodb-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

ebs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

efs-in-backup-plan

Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

elb-cross-zone-load-Balancing aktiviert

Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

rds-instance-deletion-protection-aktiviert

Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

redshift-backup-enabled

Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

s3- version-lifecycle-policy-check

Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

db-instance-backup-enabled

Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

dynamodb-pitr-enabled

Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

elasticache-redis-cluster-automatic-Backup-Prüfung

Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

rds-multi-az-support

Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

s-3 bucket-replication-enabled

Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

s-3 bucket-versioning-enabled

Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-13(5) Prädiktive Ausfallprävention | Failover-Fähigkeit

vpc-vpn-2-tunnels-up

Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SI-20 Tainting

cloudwatch-alarm-action-check

Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-20 Tainting

cloud-trail-cloud-watch-logs-aktiviert

Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-20 Tainting

guardduty-enabled-centralized

Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800-53 Rev 5.