Bewährte Betriebspraktiken für NIST 800-53 Rev. 5

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800-53-Regeln und den AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800-53-Steuerelemente. Eine NIST 800-53-Steuerung kann mit mehreren Config-Regeln verknüpft werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.

Kontroll-ID	Beschreibung der Kontrolle	AWS Config	Empfehlungen
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2(4)	Kontoverwaltung \| Automatisierte Prüfungsaktionen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-2(12)	Kontoverwaltung \| Kontoüberwachung bei untypischer Nutzung	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AC-2	Kontenverwaltung	iam-no-inline-policy-überprüfen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-2	Kontenverwaltung	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2	Kontenverwaltung	iam-customer-policy-blocked-kms-Aktionen	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2	Kontenverwaltung	iam-inline-policy-blocked-kms-Aktionen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-2	Kontenverwaltung	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-2	Kontenverwaltung	iam-user-group-membership-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-2	Kontenverwaltung	iam-user-unused-credentials-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	ec2-imdsv2-check	Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werdenIMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	ec-2 instance-profile-attached	EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	ecs-containers-readonly-access	Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	ecs-task-definition-user-for-host-mode-check	Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-no-inline-policy-überprüfen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	access-keys-rotated	Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-customer-policy-blocked-kms-Aktionen	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-inline-policy-blocked-kms-Aktionen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-password-policy	Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer IAM Unternehmenspasswortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-root-access-key-überprüfen	Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-user-group-membership-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	iam-user-unused-credentials-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	mfa-enabled-for-iam-Konsolenzugriff	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	root-account-hardware-mfa-aktiviert	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
AC-3(15)	Durchsetzung des Zugriffs \| Diskretionäre und obligatorische Zugriffskontrolle	secretsmanager-rotation-enabled-check	Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird.
AC-3	Durchsetzung des Zugriffs	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
AC-3	Durchsetzung des Zugriffs	ec2-imdsv2-check	Stellen Sie sicher, dass die Methode Instance Metadata Service Version 2 (IMDSv2) aktiviert ist, um den Zugriff auf und die Kontrolle der Amazon Elastic Compute Cloud (AmazonEC2) -Instance-Metadaten zu schützen. Die IMDSv2 Methode verwendet sitzungsbasierte Kontrollen. Mit können Kontrollen implementiert werdenIMDSv2, um Änderungen an Instanzmetadaten einzuschränken.
AC-3	Durchsetzung des Zugriffs	ec-2 instance-profile-attached	EC2Instanzprofile geben eine IAM Rolle an eine EC2 Instanz weiter. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen.
AC-3	Durchsetzung des Zugriffs	ecs-containers-readonly-access	Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-3	Durchsetzung des Zugriffs	ecs-task-definition-user-for-host-mode-check	Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-3	Durchsetzung des Zugriffs	iam-no-inline-policy-überprüfen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-3	Durchsetzung des Zugriffs	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3	Durchsetzung des Zugriffs	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
AC-3	Durchsetzung des Zugriffs	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3	Durchsetzung des Zugriffs	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3	Durchsetzung des Zugriffs	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3	Durchsetzung des Zugriffs	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-3	Durchsetzung des Zugriffs	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3	Durchsetzung des Zugriffs	iam-customer-policy-blocked-kms-Aktionen	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3	Durchsetzung des Zugriffs	iam-inline-policy-blocked-kms-Aktionen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3	Durchsetzung des Zugriffs	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-3	Durchsetzung des Zugriffs	iam-user-group-membership-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-3	Durchsetzung des Zugriffs	iam-user-unused-credentials-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
AC-3	Durchsetzung des Zugriffs	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-3	Durchsetzung des Zugriffs	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
AC-3	Durchsetzung des Zugriffs	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-3	Durchsetzung des Zugriffs	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
AC-3	Durchsetzung des Zugriffs	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-3	Durchsetzung des Zugriffs	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-3	Durchsetzung des Zugriffs	s3- -Block-periodisch account-level-public-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-3	Durchsetzung des Zugriffs	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
AC-3	Durchsetzung des Zugriffs	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3	Durchsetzung des Zugriffs	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-3	Durchsetzung des Zugriffs	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-3	Durchsetzung des Zugriffs	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-4(26)	Durchsetzung des Informationsflusses \| Prüfungsfilteraktionen	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AC-5	Aufgabentrennung	ecs-containers-readonly-access	Die Aktivierung des schreibgeschützten Zugriffs auf Amazon Elastic Container Service (ECS) -Container kann dazu beitragen, das Prinzip der geringsten Rechte einzuhalten. Diese Option kann Angriffsvektoren reduzieren, da das Dateisystem der Container-Instance nur geändert werden kann, wenn es über ausdrückliche Lese- und Schreibberechtigungen verfügt.
AC-5	Aufgabentrennung	ecs-task-definition-user-for-host-mode-check	Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben.
AC-5	Aufgabentrennung	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-5	Aufgabentrennung	iam-customer-policy-blocked-kms-Aktionen	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-5	Aufgabentrennung	iam-inline-policy-blocked-kms-Aktionen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-5	Aufgabentrennung	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2)	Geringste Berechtigung \| Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2)	Geringste Berechtigung \| Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(2)	Geringste Berechtigung \| Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen	iam-root-access-key-überprüfen	Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-no-inline-policy-überprüfen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe für AWS Identity and Access Management (IAM) keine Inline-Richtlinie zur Steuerung des Zugriffs auf Systeme und Ressourcen hat. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-customer-policy-blocked-kms-Aktionen	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Schlüsselverwaltungsdienstes enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-inline-policy-blocked-kms-Aktionen	Stellen Sie sicher, dass ein Benutzer, eine IAM Rolle oder eine IAM Gruppe von AWS Identity and Access Management (IAM) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms: Decrypt, kms:ReEncryptFrom). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(3)	Geringste Berechtigung \| Netzwerkzugriff auf privilegierte Befehle	iam-user-group-membership-überprüfen	AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-6(9)	Geringste Berechtigung \| Protokollierung der Nutzung privilegierter Funktionen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AC-6(10)	Geringste Berechtigung \| Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer	iam-policy-no-statements-with-full-access	Stellen Sie sicher, dass IAM Aktionen nur auf die Aktionen beschränkt sind, die benötigt werden. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(10)	Geringste Berechtigung \| Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Wirkung“: „Zulassen“ mit „Aktion“: „“ statt „Ressource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
AC-6(10)	Geringste Berechtigung \| Verhinderung der Ausführung privilegierter Funktionen durch nicht privilegierte Benutzer	iam-root-access-key-überprüfen	Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen AWS-Konten , um das Prinzip der geringsten Funktionalität zu berücksichtigen.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	elbv-2 acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
AC-17(2)	Remote-Zugriff \| Schutz von Vertraulichkeit und Integrität durch Verschlüsselung	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
AC-21	Weitergabe von Informationen	autoscaling-launch-config-public-ip ist deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
AC-21	Weitergabe von Informationen	ec2- instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
AC-21	Weitergabe von Informationen	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
AC-21	Weitergabe von Informationen	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21	Weitergabe von Informationen	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21	Weitergabe von Informationen	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21	Weitergabe von Informationen	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-21	Weitergabe von Informationen	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21	Weitergabe von Informationen	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
AC-21	Weitergabe von Informationen	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
AC-21	Weitergabe von Informationen	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
AC-21	Weitergabe von Informationen	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
AC-21	Weitergabe von Informationen	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
AC-21	Weitergabe von Informationen	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
AC-21	Weitergabe von Informationen	s3- -Block-periodisch account-level-public-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AC-21	Weitergabe von Informationen	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
AC-21	Weitergabe von Informationen	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21	Weitergabe von Informationen	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
AC-21	Weitergabe von Informationen	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
AC-21	Weitergabe von Informationen	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
AU-2	Ereignisprotokollierung	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-2	Ereignisprotokollierung	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-2	Ereignisprotokollierung	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-2	Ereignisprotokollierung	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-2	Ereignisprotokollierung	wafv2-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-2	Ereignisprotokollierung	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-2	Ereignisprotokollierung	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-2	Ereignisprotokollierung	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-2	Ereignisprotokollierung	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-2	Ereignisprotokollierung	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-2	Ereignisprotokollierung	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-2	Ereignisprotokollierung	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-2	Ereignisprotokollierung	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-3	Inhalt der Prüfungsunterlagen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-3	Inhalt der Prüfungsunterlagen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-3	Inhalt der Prüfungsunterlagen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-3	Inhalt der Prüfungsunterlagen	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-3	Inhalt der Prüfungsunterlagen	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-3	Inhalt der Prüfungsunterlagen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-3	Inhalt der Prüfungsunterlagen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-3	Inhalt der Prüfungsunterlagen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-3	Inhalt der Prüfungsunterlagen	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-3	Inhalt der Prüfungsunterlagen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-3	Inhalt der Prüfungsunterlagen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-3	Inhalt der Prüfungsunterlagen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-3	Inhalt der Prüfungsunterlagen	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(1)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Automatisierte Prozessintegration	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(1)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Automatisierte Prozessintegration	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AU-6(1)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Automatisierte Prozessintegration	securityhub-enabled	AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AU-6(1)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Automatisierte Prozessintegration	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-6(3)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Korrelation der Repositorys für Prüfungsunterlagen	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-6(4)	Prüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Zentrale Überprüfung und Analyse	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-6(5)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Integrierte Analyse von Prüfungsunterlagen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-6(5)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Integrierte Analyse von Prüfungsunterlagen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
AU-6(5)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Integrierte Analyse von Prüfungsunterlagen	securityhub-enabled	AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
AU-6(5)	Überprüfung, Analyse und Berichterstattung von Prüfungsunterlagen \| Integrierte Analyse von Prüfungsunterlagen	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
AU-7(1)	Reduzierung von Prüfungsunterlagen und Berichtserstellung \| Automatische Verarbeitung	cloud-trail-cloud-watch-logs-aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-9(2)	Schutz von Prüfungsinformationen \| Speicherung auf separaten physischen Systemen oder Komponenten	s-3 version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
AU-9(2)	Schutz von Prüfungsinformationen \| Speicherung auf separaten physischen Systemen oder Komponenten	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
AU-9(2)	Schutz von Prüfungsinformationen \| Speicherung auf separaten physischen Systemen oder Komponenten	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
AU-9(7)	Schutz von Prüfungsinformationen \| Speicherung auf einer Komponente mit einem anderen Betriebssystem	cloud-trail-cloud-watch-logs-aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-9	Schutz von Prüfungsinformationen	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
AU-9	Schutz von Prüfungsinformationen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Aufrufen der AWS Management Console bei der Nichtabstreitbarkeit helfen. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-9	Schutz von Prüfungsinformationen	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
AU-9	Schutz von Prüfungsinformationen	cloud-trail-log-file-Validierung aktiviert	Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
AU-9	Schutz von Prüfungsinformationen	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
AU-10	Nichtabstreitbarkeit	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-10	Nichtabstreitbarkeit	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-10	Nichtabstreitbarkeit	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-10	Nichtabstreitbarkeit	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-10	Nichtabstreitbarkeit	wafv2-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen Web. ACLs AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-10	Nichtabstreitbarkeit	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-10	Nichtabstreitbarkeit	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-10	Nichtabstreitbarkeit	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-10	Nichtabstreitbarkeit	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-10	Nichtabstreitbarkeit	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-10	Nichtabstreitbarkeit	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-10	Nichtabstreitbarkeit	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-12	Generierung von Prüfungsunterlagen	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
AU-12	Generierung von Prüfungsunterlagen	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
AU-12	Generierung von Prüfungsunterlagen	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
AU-12	Generierung von Prüfungsunterlagen	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
AU-12	Generierung von Prüfungsunterlagen	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
AU-12	Generierung von Prüfungsunterlagen	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
AU-12	Generierung von Prüfungsunterlagen	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
AU-12	Generierung von Prüfungsunterlagen	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
AU-12	Generierung von Prüfungsunterlagen	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
AU-12	Generierung von Prüfungsunterlagen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
AU-12	Generierung von Prüfungsunterlagen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
AU-12	Generierung von Prüfungsunterlagen	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
AU-12	Generierung von Prüfungsunterlagen	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
AU-14(1)	Sitzungsprüfung \| Systemstart	cloudtrail-enabled	AWS CloudTrail kann dabei helfen, Unwiderlegbarkeit zu gewährleisten, indem Aktionen und Aufrufe der AWS Management Console aufgezeichnet werden. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
CA-7	Kontinuierliche Überwachung	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
CA-7	Kontinuierliche Überwachung	lambda-dlq-check	Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist.
CA-7	Kontinuierliche Überwachung	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
CA-7	Kontinuierliche Überwachung	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
CA-7	Kontinuierliche Überwachung	rds-enhanced-monitoring-enabled	Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
CA-7	Kontinuierliche Überwachung	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
CA-7	Kontinuierliche Überwachung	s-3 event-notifications-enabled	Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
CA-7	Kontinuierliche Überwachung	securityhub-enabled	AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen.
CA-7	Kontinuierliche Überwachung	wafv2-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
CA-7	Kontinuierliche Überwachung	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
CA-7	Kontinuierliche Überwachung	autoscaling-group-elb-healthcheck-erforderlich	Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
CA-7	Kontinuierliche Überwachung	beanstalk-enhanced-health-reporting-aktiviert	AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen.
CA-7	Kontinuierliche Überwachung	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
CA-7	Kontinuierliche Überwachung	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
CA-7	Kontinuierliche Überwachung	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
CA-7	Kontinuierliche Überwachung	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
CA-7	Kontinuierliche Überwachung	dynamodb-throughput-limit-check	Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-7	Kontinuierliche Überwachung	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
CA-7	Kontinuierliche Überwachung	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
CA-7	Kontinuierliche Überwachung	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-7	Kontinuierliche Überwachung	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
CA-7	Kontinuierliche Überwachung	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	account-part-of-organizations	Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	codebuild-project-artifact-encryption	Um sensible Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	rds-instance-default-admin-überprüfen	Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon Relational Database Service (AmazonRDS) -Datenbank-Instance (s) zu reduzieren.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	ec2-stopped-instance	Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	ec2- volume-inuse-check	Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	elb-deletion-protection-enabled	Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	redshift-default-admin-check	Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon-Redshift-Cluster zu reduzieren.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CA-9(1)	Interne Systemverbindungen \| Konformitätsprüfungen	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	ec2-stopped-instance	Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	ec2- volume-inuse-check	Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	elb-deletion-protection-enabled	Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-2(2)	Basiskonfiguration \| Automatisierungsunterstützung zur Förderung von Genauigkeit und Aktualität	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-2	Basiskonfiguration	account-part-of-organizations	Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können.
CM-2	Basiskonfiguration	rds-instance-default-admin-überprüfen	Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon Relational Database Service (AmazonRDS) -Datenbank-Instance (s) zu reduzieren.
CM-2	Basiskonfiguration	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-2	Basiskonfiguration	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-2	Basiskonfiguration	ec2-stopped-instance	Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu helfen, indem Sie überprüfen, ob EC2 Amazon-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden.
CM-2	Basiskonfiguration	ec2- volume-inuse-check	Diese Regel stellt sicher, dass Amazon Elastic Block Store-Volumes, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein EBS Amazon-Volume nicht gelöscht wird, wenn die Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen.
CM-2	Basiskonfiguration	elb-deletion-protection-enabled	Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-2	Basiskonfiguration	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-2	Basiskonfiguration	redshift-default-admin-check	Da Standardbenutzernamen allgemein bekannt sind, kann eine Änderung der Standardbenutzernamen dazu beitragen, die Angriffsfläche für Ihre Amazon-Redshift-Cluster zu reduzieren.
CM-2	Basiskonfiguration	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	codebuild-project-artifact-encryption	Um sensible Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Artefakte aktiviert ist. AWS CodeBuild
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
CM-3(6)	Kontrolle von Konfigurationsänderungen \| Kryptografie-Management	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
CM-3	Kontrolle von Konfigurationsänderungen	elb-deletion-protection-enabled	Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-3	Kontrolle von Konfigurationsänderungen	rds-instance-deletion-protection-aktiviert	Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
CM-7	Geringste Funktionalität	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
CM-7	Geringste Funktionalität	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
CM-7	Geringste Funktionalität	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CM-8(1)	Inventar der Systemkomponenten \| Updates während der Installation und Deinstallation	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(1)	Inventar der Systemkomponenten \| Updates während der Installation und Deinstallation	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(2)	Inventar der Systemkomponenten \| Automatisierte Wartung	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3)	Inventar der Systemkomponenten \| Automatisierte Erkennung nicht autorisierter Komponenten	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8(3)	Inventar der Systemkomponenten \| Automatisierte Erkennung nicht autorisierter Komponenten	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CM-8(3)	Inventar der Systemkomponenten \| Automatisierte Erkennung nicht autorisierter Komponenten	ec2-check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
CM-8(3)	Inventar der Systemkomponenten \| Automatisierte Erkennung nicht autorisierter Komponenten	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
CM-8	Inventar der Systemkomponenten	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
CM-8	Inventar der Systemkomponenten	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
CP-2(2)	Notfallplan \| Kapazitätsplanung	autoscaling-group-elb-healthcheck-erforderlich	Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
CP-2(2)	Notfallplan \| Kapazitätsplanung	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6(1)	Alternativer Speicherort \| Trennung vom primären Standort	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	elb-cross-zone-load-Balancing aktiviert	Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	s3- version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	elasticache-redis-cluster-automatic-Backup-Prüfung	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	rds-multi-az-support	Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-6(2)	Alternativer Speicherort \| Recovery Time und Recovery Point Objectives	vpc-vpn-2-tunnels-up	Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
CP-6	Alternativer Speicherort	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6	Alternativer Speicherort	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6	Alternativer Speicherort	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-6	Alternativer Speicherort	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-6	Alternativer Speicherort	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-6	Alternativer Speicherort	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-6	Alternativer Speicherort	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-6	Alternativer Speicherort	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-9	Systemsicherung	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9	Systemsicherung	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9	Systemsicherung	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-9	Systemsicherung	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-9	Systemsicherung	s3- version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-9	Systemsicherung	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-9	Systemsicherung	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-9	Systemsicherung	ebs-optimized-instance	Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
CP-9	Systemsicherung	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-9	Systemsicherung	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
CP-9	Systemsicherung	s3- bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-9	Systemsicherung	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-10	Systemwiederherstellung und -rekonstitution	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10	Systemwiederherstellung und -rekonstitution	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10	Systemwiederherstellung und -rekonstitution	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
CP-10	Systemwiederherstellung und -rekonstitution	elb-cross-zone-load-Balancing aktiviert	Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
CP-10	Systemwiederherstellung und -rekonstitution	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
CP-10	Systemwiederherstellung und -rekonstitution	s3- version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
CP-10	Systemwiederherstellung und -rekonstitution	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
CP-10	Systemwiederherstellung und -rekonstitution	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
CP-10	Systemwiederherstellung und -rekonstitution	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
CP-10	Systemwiederherstellung und -rekonstitution	ebs-optimized-instance	Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
CP-10	Systemwiederherstellung und -rekonstitution	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
CP-10	Systemwiederherstellung und -rekonstitution	rds-multi-az-support	Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
CP-10	Systemwiederherstellung und -rekonstitution	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
CP-10	Systemwiederherstellung und -rekonstitution	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
CP-10	Systemwiederherstellung und -rekonstitution	vpc-vpn-2-tunnels-up	Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
IA-2(1)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für privilegierte Konten	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(1)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für privilegierte Konten	mfa-enabled-for-iam-Konsolenzugriff	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(1)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für privilegierte Konten	root-account-hardware-mfa-aktiviert	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(1)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für privilegierte Konten	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(2)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für nicht privilegierte Konten	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(2)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für nicht privilegierte Konten	mfa-enabled-for-iam-Konsolenzugriff	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(2)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für nicht privilegierte Konten	root-account-hardware-mfa-aktiviert	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(2)	Identifizierung und Authentifizierung (Benutzer in der Organisation) \| Multi-Faktor-Authentifizierung für nicht privilegierte Konten	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(6)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – separates Gerät	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(6)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – separates Gerät	mfa-enabled-for-iam-Konsolenzugriff	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(6)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – separates Gerät	root-account-hardware-mfa-aktiviert	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(6)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – separates Gerät	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(8)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – Wiedergaberesistent	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Reduzieren Sie die Anzahl kompromittierter Konten, indem Sie mehr Benutzer benötigenMFA.
IA-2(8)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – Wiedergaberesistent	mfa-enabled-for-iam-Konsolenzugriff	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass diese für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert MFA ist, die über ein Konsolenkennwort verfügen. MFAfügt zusätzlich zu den Anmeldedaten eine zusätzliche Schutzebene hinzu. Indem Sie zusätzliche MFA Benutzerdaten angeben, können Sie die Anzahl kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
IA-2(8)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – Wiedergaberesistent	root-account-hardware-mfa-aktiviert	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass die Hardware für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-2(8)	Identifizierung und Authentifizierung (Benutzer im Unternehmen) \| Zugriff auf Konten – Wiedergaberesistent	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass er für den Root-Benutzer aktiviert MFA ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Das MFA fügt eine zusätzliche Schutzebene für Anmeldeinformationen hinzu. Indem Sie MFA den Root-Benutzer angeben, können Sie die Zahl der AWS-Konten kompromittierten Benutzer reduzieren.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	iam-password-policy	Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security in Bezug auf die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihre IAMKennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
IA-5(1)	Authenticator-Management \| Passwortbasierte Authentifizierung	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
IA-5(7)	Authenticator-Management \| Keine eingebetteten unverschlüsselten statischen Authentifikatoren	codebuild-project-envvar-awscred-überprüfen	Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
IR-4(1)	Bearbeitung von Vorfällen \| Automatisierte Prozesse zur Bearbeitung von Vorfällen	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
IR-4(5)	Bearbeitung von Vorfällen \| Automatische Systemdeaktivierung	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
RA-3(4)	Risikobewertung \| Prädiktive Cyberanalysen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-3	Lebenszyklus der Systementwicklung	codebuild-project-envvar-awscred-überprüfen	Stellen Sie sicher, dass die Anmeldeinformationen AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY nicht in AWS Codebuild-Projektumgebungen vorhanden sind. Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe.
SA-3	Lebenszyklus der Systementwicklung	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-8(19)	Prinzipien der Sicherheits- und Datenschutzentwicklung \| Kontinuierlicher Schutz	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-8(21)	Prinzipien der Sicherheits- und Datenschutzentwicklung \| Selbstanalyse	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-8(22)	Prinzipien der Sicherheits- und Datenschutzentwicklung \| Rechenschaftspflicht und Rückverfolgbarkeit	cloudtrail-enabled	AWS CloudTrail kann dazu beitragen, dass die Daten nicht zurückgewiesen werden können, indem sie Aktionen und Aufrufe der AWS Management Console aufzeichnen. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SA-8(25)	Prinzipien der Sicherheits- und Datenschutzentwicklung \| Wirtschaftliche Sicherheit	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-11(1)	Tests und Bewertungen für Entwickler \| Analyse statischer Codes	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-11(6)	Tests und Bewertungen für Entwickler \| Überprüfungen der Angriffsfläche	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-15(2)	Entwicklungsprozess, Standards und Tools \| Tools zur Überwachung von Sicherheit und Datenschutz	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-15(2)	Entwicklungsprozess, Standards und Tools \| Tools zur Überwachung von Sicherheit und Datenschutz	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SA-15(8)	Entwicklungsprozess, Standards und Tools \| Wiederverwendung von Informationen zu Bedrohungen und Schwachstellen	ec2-manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SA-15(8)	Entwicklungsprozess, Standards und Tools \| Wiederverwendung von Informationen zu Bedrohungen und Schwachstellen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5(1)	Denial-of-service Schutz \| Beschränken Sie die Fähigkeit, andere Systeme anzugreifen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	elb-cross-zone-load-Balancing aktiviert	Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	rds-instance-deletion-protection-aktiviert	Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	s-3 version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	ebs-optimized-instance	Eine optimierte Instance im Amazon Elastic Block Store (AmazonEBS) bietet zusätzliche, dedizierte Kapazität für Amazon EBS I/O-Operationen. Diese Optimierung bietet die effizienteste Leistung für Ihre EBS Volumes, indem Konflikte zwischen Amazon EBS I/O-Vorgängen und anderem Datenverkehr von Ihrer Instance minimiert werden.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	elb-deletion-protection-enabled	Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	rds-multi-az-support	Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SC-5(2)	Denial-of-service Schutz \| Kapazität, Bandbreite und Redundanz	vpc-vpn-2-tunnels-up	Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SC-5(3)	Denial-of-service Schutz \| Erkennung und Überwachung	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-5	Denial-of-service Schutz	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SC-7(3)	Grenzschutz \| Zugangspunkte	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(3)	Grenzschutz \| Zugangspunkte	ec2- instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(3)	Grenzschutz \| Zugangspunkte	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(3)	Grenzschutz \| Zugangspunkte	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(3)	Grenzschutz \| Zugangspunkte	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(3)	Grenzschutz \| Zugangspunkte	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(3)	Grenzschutz \| Zugangspunkte	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(3)	Grenzschutz \| Zugangspunkte	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(3)	Grenzschutz \| Zugangspunkte	s3- -Block-periodisch account-level-public-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(3)	Grenzschutz \| Zugangspunkte	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(3)	Grenzschutz \| Zugangspunkte	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3)	Grenzschutz \| Zugangspunkte	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(3)	Grenzschutz \| Zugangspunkte	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(3)	Grenzschutz \| Zugangspunkte	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	ec-2 instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	redshift-enhanced-vpc-routing-aktiviert	Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	account-level-public-accesss3- -blöcke-periodisch	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	s3- bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(4)	Grenzschutz \| Externe Telekommunikationsservices	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(5)	Grenzschutz \| Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(5)	Grenzschutz \| Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(5)	Grenzschutz \| Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(5)	Grenzschutz \| Standardmäßige Zugriffsverweigerung – Ausnahmsweise Genehmigung	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	ec2- instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	redshift-enhanced-vpc-routing-aktiviert	Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	s3- -Block-periodisch account-level-public-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(9)	Grenzschutz \| Beschränkung von bedrohlichem ausgehendem Kommunikationsverkehr	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	s3 bucket-server-side-encryption - aktiviert	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	sagemaker-notebook-instance-kms-schlüsselkonfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SC-7(10)	Grenzschutz \| Verhinderung von Exfiltrationen	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	ec-2 instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	redshift-enhanced-vpc-routing-aktiviert	Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	account-level-public-accesss3- -blöcke-periodisch	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(11)	Grenzschutz \| Beschränkung von bedrohlichem eingehendem Kommunikationsverkehr	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	ec-2 instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	acm-certificate-expiration-check	Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS grundlegende Sicherheitsmethoden: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	account-level-public-accesss3- -blöcke-periodisch	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(16)	Grenzschutz \| Verhinderung der Erkennung von Systemkomponenten	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	ec-2 instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	redshift-enhanced-vpc-routing-aktiviert	Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	account-level-public-accesss3- -blöcke-periodisch	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7(21)	Grenzschutz \| Isolierung von Systemkomponenten	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-7	Grenzschutz	autoscaling-launch-config-public-ip-deaktiviert	Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen über das Internet erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann.
SC-7	Grenzschutz	restricted-ssh	Amazon Elastic Compute Cloud (AmazonEC2) Security Groups können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken.
SC-7	Grenzschutz	ec-2 instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (AmazonEC2) -Instances in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb des Amazonas zu ermöglichenVPC, ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Weisen Sie EC2 Amazon-Instances einem Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
SC-7	Grenzschutz	no-unrestricted-route-to-igw	Stellen Sie sicher, dass EC2 Amazon-Routentabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Durch das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs können unbeabsichtigte Zugriffe in Ihrer Umgebung reduziert werden.
SC-7	Grenzschutz	redshift-enhanced-vpc-routing-aktiviert	Durch das verbesserte VPC Routing wird der gesamte COPY UNLOAD Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihr Amazon VPC geleitet. Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flussprotokolle auch verwenden, um den Netzwerkverkehr zu überwachen.
SC-7	Grenzschutz	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM Dokumente ermöglichen kann. Ein öffentliches SSM Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
SC-7	Grenzschutz	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMSReplikationsinstanzen können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7	Grenzschutz	ebs-snapshot-public-restorable-überprüfen	Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass EBS Snapshots nicht öffentlich wiederherstellbar sind. EBSVolumen-Snapshots können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7	Grenzschutz	ec2- instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (AmazonEC2) -Instances nicht öffentlich zugänglich sind. EC2Amazon-Instances können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7	Grenzschutz	elasticsearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen dem OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7	Grenzschutz	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf EMR Amazon-Cluster-Masterknoten nicht öffentlich zugegriffen werden kann. EMRAmazon-Cluster-Masterknoten können vertrauliche Informationen enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7	Grenzschutz	lambda-function-public-access-verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
SC-7	Grenzschutz	lambda-inside-vpc	Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (AmazonVPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb des Amazonas VPC zu gewährleisten. Bei dieser Konfiguration ist kein Internet-Gateway, NAT Gerät oder VPN Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Aufgrund ihrer logischen Isolierung VPC verfügen Domains, die sich innerhalb eines Amazon befinden, im Vergleich zu Domains, die öffentliche Endpunkte verwenden, über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen a VPC zugewiesen werden.
SC-7	Grenzschutz	opensearch-in-vpc-only	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch Service-Domains innerhalb einer Amazon Virtual Private Cloud (AmazonVPC) befinden. Eine Amazon OpenSearch Service-Domain innerhalb eines Amazons VPC ermöglicht die sichere Kommunikation zwischen Amazon OpenSearch Service und anderen Diensten innerhalb von Amazon, VPC ohne dass ein Internet-Gateway, ein NAT Gerät oder eine VPN Verbindung erforderlich ist.
SC-7	Grenzschutz	rds-instance-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen enthalten, und für solche Konten sind Grundsätze und Zugriffskontrollen erforderlich.
SC-7	Grenzschutz	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (AmazonRDS) -Instances nicht öffentlich sind. RDSAmazon-Datenbank-Instances können vertrauliche Informationen und Prinzipien enthalten, und für solche Konten ist eine Zugriffskontrolle erforderlich.
SC-7	Grenzschutz	redshift-cluster-public-access-überprüfen	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
SC-7	Grenzschutz	restricted-common-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional blockedPort blockedPort 1—5 Parameter festlegen (Standardkonfiguration: 20.21.3389.3306.4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7	Grenzschutz	account-level-public-accesss3- -blöcke-periodisch	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-7	Grenzschutz	s3 bucket-level-public-access - verboten	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert.
SC-7	Grenzschutz	s-3 bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7	Grenzschutz	s3- bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
SC-7	Grenzschutz	sagemaker-notebook-no-direct-Internetzugang	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
SC-7	Grenzschutz	subnet-auto-assign-public-ip-deaktiviert	Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Amazon Elastic Compute Cloud (EC2) -Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
SC-7	Grenzschutz	vpc-default-security-group-geschlossen	Sicherheitsgruppen von Amazon Elastic Compute Cloud (AmazonEC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs auf die Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS
SC-7	Grenzschutz	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (AmazonEC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Remote-Zugriff auf interne Systeme gesteuert werden.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	elbv-2 acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(1)	Vertraulichkeit und Integrität von Übertragungen \| Kryptografischer Schutz	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8(2)	Vertraulichkeit und Integrität von Übertragungen \| Handhabung vor und nach der Übertragung	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	elbv-2 acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8	Vertraulichkeit und Integrität von Übertragungen	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-8	Vertraulichkeit und Integrität von Übertragungen	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-8	Vertraulichkeit und Integrität von Übertragungen	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-8	Vertraulichkeit und Integrität von Übertragungen	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-8	Vertraulichkeit und Integrität von Übertragungen	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(2)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Symmetrische Schlüssel	cmk-backing-key-rotation-aktiviert	Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-12(2)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Symmetrische Schlüssel	kms-cmk-not-scheduled-zum Löschen	Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-12(3)	Einrichtung und Verwaltung kryptografischer Schlüssel \| Asymmetrische Schlüssel	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-12	Einrichtung und Verwaltung kryptografischer Schlüssel	cmk-backing-key-rotation-aktiviert	Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-12	Einrichtung und Verwaltung kryptografischer Schlüssel	kms-cmk-not-scheduled-zum Löschen	Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die für den Kunden erforderlichen Masterschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde.
SC-13	Kryptografischer Schutz	codebuild-project-artifact-encryption	Stellen Sie zum Schutz vertraulicher Daten im Speicher sicher, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-13	Kryptografischer Schutz	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-13	Kryptografischer Schutz	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-13	Kryptografischer Schutz	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-13	Kryptografischer Schutz	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13	Kryptografischer Schutz	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13	Kryptografischer Schutz	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-13	Kryptografischer Schutz	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SC-13	Kryptografischer Schutz	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-13	Kryptografischer Schutz	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-13	Kryptografischer Schutz	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13	Kryptografischer Schutz	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-13	Kryptografischer Schutz	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-13	Kryptografischer Schutz	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-13	Kryptografischer Schutz	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-13	Kryptografischer Schutz	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-13	Kryptografischer Schutz	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	s3-fähig bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-13	Kryptografischer Schutz	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-13	Kryptografischer Schutz	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-13	Kryptografischer Schutz	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(3)	Sitzungsauthentizität \| Eindeutige, systemseitig generierte Sitzungskennungen	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23(5)	Sitzungsauthentizität \| Zulässige Zertifizierungsstellen	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23(5)	Sitzungsauthentizität \| Zulässige Zertifizierungsstellen	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23	Sitzungsauthentizität	elasticsearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23	Sitzungsauthentizität	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23	Sitzungsauthentizität	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SC-23	Sitzungsauthentizität	opensearch-node-to-node-Verschlüsselungsprüfung	Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. Node-to-nodeVerschlüsselung ermöglicht TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (AmazonVPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23	Sitzungsauthentizität	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23	Sitzungsauthentizität	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SC-23	Sitzungsauthentizität	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23	Sitzungsauthentizität	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SC-23	Sitzungsauthentizität	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster eine TLS SSL /Verschlüsselung benötigen, um eine Verbindung zu SQL Clients herzustellen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-23	Sitzungsauthentizität	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	codebuild-project-artifact-encryption	Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28(1)	Schutz von Informationen im Ruhezustand \| Kryptografischer Schutz	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-28(3)	Schutz von Informationen im Ruhezustand \| Kryptografische Schlüssel	acm-certificate-expiration-check	Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS grundlegende Sicherheitsmethoden: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen.
SC-28(3)	Schutz von Informationen im Ruhezustand \| Kryptografische Schlüssel	cmk-backing-key-rotation-aktiviert	Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, nachdem sie das Ende ihrer Krypto-Periode erreicht haben.
SC-28	Schutz von Informationen im Ruhezustand	codebuild-project-artifact-encryption	Um sensible Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CodeBuild Artefakte aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SC-28	Schutz von Informationen im Ruhezustand	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28	Schutz von Informationen im Ruhezustand	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28	Schutz von Informationen im Ruhezustand	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SC-28	Schutz von Informationen im Ruhezustand	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SC-28	Schutz von Informationen im Ruhezustand	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SC-28	Schutz von Informationen im Ruhezustand	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SC-28	Schutz von Informationen im Ruhezustand	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SC-28	Schutz von Informationen im Ruhezustand	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SC-36(2)	Verteilte Verarbeitung und Speicherung \| Synchronisierung	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SC-36	Verteilte Verarbeitung und Speicherung	elb-cross-zone-load-Balancing aktiviert	Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SC-36	Verteilte Verarbeitung und Speicherung	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SC-36	Verteilte Verarbeitung und Speicherung	rds-multi-az-support	Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SC-36	Verteilte Verarbeitung und Speicherung	vpc-vpn-2-tunnels-up	Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SI-2(2)	Fehlerkorrektur \| Status der automatisierten Fehlerkorrektur	ec2-check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(2)	Fehlerkorrektur \| Status der automatisierten Fehlerkorrektur	elastic-beanstalk-managed-updates-aktiviert	Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(2)	Fehlerkorrektur \| Status der automatisierten Fehlerkorrektur	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2(3)	Fehlerkorrektur \| Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen	ec2- -Manager instance-managed-by-systems	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (AmazonEC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen.
SI-2(3)	Fehlerkorrektur \| Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen	ec2-check managedinstance-association-compliance-status	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instanzen einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
SI-2(3)	Fehlerkorrektur \| Dauer der Fehlerkorrektur und Benchmarks für Korrekturmaßnahmen	ec2-check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(4)	Fehlerkorrektur \| Automatisierte Patch-Management-Tools	ec2-check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(4)	Fehlerkorrektur \| Automatisierte Patch-Management-Tools	elastic-beanstalk-managed-updates-aktiviert	Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(4)	Fehlerkorrektur \| Automatisierte Patch-Management-Tools	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2(5)	Fehlerkorrektur \| Automatische Software- und Firmware-Updates	ec2- -check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2(5)	Fehlerkorrektur \| Automatische Software- und Firmware-Updates	elastic-beanstalk-managed-updates-aktiviert	Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2(5)	Fehlerkorrektur \| Automatische Software- und Firmware-Updates	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2	Fehlerkorrektur	lambda-dlq-check	Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (AmazonSQS) oder Amazon Simple Notification Service (AmazonSNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist.
SI-2	Fehlerkorrektur	rds-enhanced-monitoring-enabled	Aktivieren Sie Amazon Relational Database Service (AmazonRDS), um die RDS Verfügbarkeit von Amazon zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer RDS Amazon-Datenbank-Instances. Wenn der RDS Amazon-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, sammelt Enhanced Monitoring die Daten für jedes Gerät. Wenn die RDS Amazon-Datenbank-Instance in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die sekundären Host-Metriken erfasst.
SI-2	Fehlerkorrektur	autoscaling-group-elb-healthcheck-erforderlich	Die Elastic Load Balancer (ELB) -Zustandsprüfungen für Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Scaling-Gruppen unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet regelmäßig Pings, versucht Verbindungen herzustellen oder sendet Anfragen, um den Zustand der EC2 Amazon-Instances in einer Gruppe mit auto-scaling zu testen. Wenn eine Instance nicht zurückmeldet, wird der Traffic an eine neue EC2 Amazon-Instance gesendet.
SI-2	Fehlerkorrektur	beanstalk-enhanced-health-reporting-aktiviert	AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen.
SI-2	Fehlerkorrektur	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-2	Fehlerkorrektur	dynamodb-throughput-limit-check	Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter accountRCUThreshold Percentage (Config Default: 80) und accountWCUThreshold Percentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-2	Fehlerkorrektur	ec2- -check managedinstance-patch-compliance-status	Aktivieren Sie diese Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (AmazonEC2) zu helfen. Die Regel prüft, ob die EC2 Amazon-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation einhält.
SI-2	Fehlerkorrektur	elastic-beanstalk-managed-updates-aktiviert	Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren.
SI-2	Fehlerkorrektur	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	s-3 event-notifications-enabled	Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	cloud-trail-cloud-watch-logs-aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-3(8)	Schutz vor schädlichem Code \| Erkennung nicht autorisierter Befehle	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-4(1)	Systemüberwachung \| Systemweites Angriffsmeldesystem	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(2)	Systemüberwachung \| Automatisierte Tools und Mechanismen für Echtzeitanalysen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(4)	Systemüberwachung \| Eingehender und ausgehender Kommunikationsverkehr	s-3 event-notifications-enabled	Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-4(4)	Systemüberwachung \| Eingehender und ausgehender Kommunikationsverkehr	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden, um unerwartete, unbefugte und bösartige Aktivitäten in Ihrer AWS Cloud-Umgebung zu identifizieren.
SI-4(5)	Systemüberwachung \| Systemseitig generierte Warnungen	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(5)	Systemüberwachung \| Systemseitig generierte Warnungen	cloud-trail-cloud-watch-logs-aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-4(5)	Systemüberwachung \| Systemseitig generierte Warnungen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(12)	Systemüberwachung \| Automatisierte, von der Organisation generierte Warnungen	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-4(13)	Systemüberwachung \| Analyse von Datenverkehrs- und Ereignismustern	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-4(20)	Systemüberwachung \| Privilegierte Benutzer	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-4(22)	Systemüberwachung \| Nicht autorisierte Netzwerkservices	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4(25)	Systemüberwachung \| Optimierung von Netzwerkverkehrsanalysen	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-4	Systemüberwachung	s-3 event-notifications-enabled	Amazon-S3-Ereignisbenachrichtigungen können das zuständige Personal über versehentliche oder vorsätzliche Änderungen an Ihren Bucket-Objekten informieren. Zu den Warnen gehören beispielsweise: Erstellung eines neuen Objekts, Entfernung eines Objekts, Wiederherstellung eines Objekts, verloren gegangene und replizierte Objekte.
SI-4	Systemüberwachung	cloud-trail-log-file-validierung aktiviert	Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-4	Systemüberwachung	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.
SI-7(1)	Software-, Firmware- und Informationsintegrität \| Zustandsprüfungen	cloud-trail-log-file-Validierung aktiviert	Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(3)	Software-, Firmware- und Informationsintegrität \| Zentral verwaltete Integritätstools	cloud-trail-log-file-Validierung aktiviert	Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	codebuild-project-artifact-encryption	Um sensible Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Artefakte aktiviert ist. AWS CodeBuild
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS eigenen Kundenhauptschlüssel () CMK verschlüsselt.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	ec2- ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	elbv2- acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	elb-tls-https-listeners-nur	Stellen Sie sicher, dass Ihre Elastic Load Balancer (ELBs) mit SSL unseren Listenern konfiguriert sind. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	kinesis-stream-encrypted	Aktivieren Sie die Verschlüsselung für Ihre Amazon-Kinesis-Streams, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	opensearch-https-required	Da sensible Daten vorhanden sein können und um Daten während der Übertragung zu schützen, sollten Sie sicherstellen, dass HTTPS Verbindungen zu Ihren Amazon OpenSearch Service-Domains aktiviert sind.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	s-3 default-encryption-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	sagemaker-notebook-instance-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr Notebook aktiviert ist. SageMaker Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	sns-encrypted-kms	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (AmazonSNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	alb-http-to-https-Umleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP Anfragen automatisch an weiterleitet. HTTPS Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	api-gw-cache-enabled-und verschlüsselt	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API Gateway-Stufe aktiviert ist. Da sensible Daten für API diese Methode erfasst werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	api-gw-ssl-enabled	Stellen Sie sicher, dass die Amazon API REST API Gateway-Phasen mit SSL Zertifikaten konfiguriert sind, damit Backend-Systeme authentifizieren können, dass Anfragen von Gateway stammenAPI.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	efs-encrypted-check	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihr Amazon Elastic File System (EFS) aktiviert ist.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	elasticsearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	elb-acm-certificate-required	Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL TLS Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes aktiviert ist.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	opensearch-encrypted-at-rest	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service-Domains aktiviert ist.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (AmazonRDS) -Instances aktiviert ist. Da sensible Daten in RDS Amazon-Instances gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	redshift-cluster-kms-enabled	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	s3- aktiviert bucket-server-side-encryption	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	s-3 bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3) -Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL) erfordern. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	sagemaker-endpoint-configuration-kms-key-konfiguriert	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren Endpunkt aktiviert ist. SageMaker Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
SI-7(6)	Software-, Firmware- und Informationsintegrität \| Kryptografischer Schutz	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
SI-7(7)	Software-, Firmware- und Informationsintegrität \| Integration von Erkennung und Reaktion	cloud-trail-log-file-Validierung aktiviert	Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	elasticsearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	multi-region-cloudtrail-enabled	AWS CloudTrail zeichnet Aktionen und API Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI REGION _ _ CLOUD _ TRAIL _ aktiviert ENABLED ist. Außerdem CloudTrail wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. Infolgedessen erhalten Sie Protokolldateien, die API Aktivitäten für die neue Region enthalten, ohne Maßnahmen zu ergreifen.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	opensearch-logs-to-cloudwatch	Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. OpenSearch Service-Fehlerprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	wafv2-logging-enabled	Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung im regionalen und globalen WebACLs. AWS WAFDie Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. In den Protokollen werden die Uhrzeit des AWS WAF Eingangs der Anfrage von Ihrer AWS Ressource, Informationen zu der Anfrage und eine Aktion für die Regel aufgezeichnet, der jede Anfrage entsprach.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	api-gw-execution-logging-aktiviert	APIDie Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer an, die auf die zugegriffen haben, API und der Art und Weise, wie sie auf die API zugegriffen haben. Diese Einblicke ermöglichen die Transparenz von Benutzeraktivitäten.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	cloud-trail-cloud-watch-Logs aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	cloudtrail-enabled	AWS CloudTrail kann durch die Aufzeichnung von Aktionen und Anrufen in der AWS Management Console helfen, die Ablehnung zu verhindern. API Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Konto Informationen über den Zugriff auf einen Amazon S3 S3-Bucket, die IP-Adresse und die Uhrzeit des Ereignisses.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an die gesendet wurdenELB. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (AmazonRDS) aktiviert ist. Mit der RDS Amazon-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default:TRUE) und loggingEnabled (Config Default:TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	s-3 bucket-logging-enabled	Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant.
SI-7(8)	Software-, Firmware- und Informationsintegrität \| Fähigkeit zur Prüfung wichtiger Ereignisse	vpc-flow-logs-enabled	Die VPC Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (AmazonVPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
SI-12	Informationsmanagement und Aufbewahrung	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-12	Informationsmanagement und Aufbewahrung	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12	Informationsmanagement und Aufbewahrung	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-12	Informationsmanagement und Aufbewahrung	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12	Informationsmanagement und Aufbewahrung	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-12	Informationsmanagement und Aufbewahrung	elasticache-redis-cluster-automatic-Backup-Check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-12	Informationsmanagement und Aufbewahrung	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	dynamodb-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	ebs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (AmazonEBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	efs-in-backup-plan	Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (AmazonEFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	elb-cross-zone-load-Balancing aktiviert	Aktivieren Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancer (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	rds-instance-deletion-protection-aktiviert	Stellen Sie sicher, dass für Amazon Relational Database Service (AmazonRDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS Amazon-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	s3- version-lifecycle-policy-check	Mit Amazon-S3-Lebenszyklusregeln können Sie Aktionen definieren, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll (z. B. die Überführung von Objekten in eine andere Speicherklasse, ihre Archivierung oder Löschung nach einem bestimmten Zeitraum).
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	db-instance-backup-enabled	Die Backup-Funktion von Amazon RDS erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon erstellt RDS automatisch einen Speicher-Volume-Snapshot Ihrer DB-Instance und sichert die gesamte DB-Instance. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	elasticache-redis-cluster-automatic-Backup-Prüfung	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	rds-multi-az-support	Die Multi-AZ-Unterstützung in Amazon Relational Database Service (AmazonRDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls RDS führt Amazon einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	s-3 bucket-replication-enabled	Die regionsübergreifende Replikation () von Amazon Simple Storage Service (Amazon S3CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRRermöglicht das automatische, asynchrone Kopieren von Objekten zwischen Amazon S3 S3-Buckets, um sicherzustellen, dass die Datenverfügbarkeit aufrechterhalten wird.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	s-3 bucket-versioning-enabled	Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen.
SI-13(5)	Prädiktive Ausfallprävention \| Failover-Fähigkeit	vpc-vpn-2-tunnels-up	Redundante Site-to-Site VPN Tunnel können implementiert werden, um die Resilienzanforderungen zu erfüllen. Es verwendet zwei Tunnel, um die Konnektivität sicherzustellen, falls eine der Site-to-Site VPN Verbindungen nicht verfügbar ist. Um sich vor einem Verbindungsverlust zu schützen, können Sie für den Fall, dass Ihr Kunden-Gateway nicht verfügbar ist, eine zweite Site-to-Site VPN Verbindung zu Ihrer Amazon Virtual Private Cloud (AmazonVPC) und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway verwenden.
SI-20	Tainting	cloudwatch-alarm-action-check	Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln.
SI-20	Tainting	cloud-trail-cloud-watch-logs-aktiviert	Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zur API Anrufaktivität in Ihrem AWS-Konto.
SI-20	Tainting	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen mit bösartigen IPs und maschinellen Lernmethoden zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung.

Vorlage

Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800-53 Rev 5.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Betriebspraktiken für NIST 800-53 Rev. 4

Bewährte Methoden für die Ausführung von NIST 800 171