Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Ausführung von NIST 800 181
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen den NIST 800 181- und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere NIST 800 181-Steuerelemente. Eine Kontrolle nach NIST 800-181 kann mehreren Konfigurationsregeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
| Kontroll-ID | Beschreibung der Kontrolle | AWS Config | Empfehlungen |
|---|---|---|---|
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0008 | Analysieren und planen Sie erwartete Änderungen der Datenkapazitätsanforderungen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von ACM ausgestellt werden. AWS Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Trails aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwenden Sie die Validierung von AWS CloudTrail Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Kryptoperiode erreicht haben. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon OpenSearch Service (OpenSearch Service) -Domains aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store-(Amazon-EBS-)Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Kundenhauptschlüssel (CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon S3 Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren SageMaker Endpunkt aktiviert ist. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0017 | Wenden Sie die Prinzipien der serviceorientierten Sicherheitsarchitektur an, um die Anforderungen des Unternehmens an Vertraulichkeit, Integrität und Verfügbarkeit zu erfüllen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0024 | Sammeln und verwalten Sie Daten, die für die Berichterstattung zur Systemsicherheit erforderlich sind. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| T0042 | Stimmen Sie sich mit Cyber Defense Analysts ab, um die Aktualisierung von Regeln und Signaturen (z. B. Systeme zur Erkennung und zum Schutz vor Eindringlingen, Virenschutz und Inhaltssperrlisten) für spezielle Cyberabwehranwendungen zu verwalten und zu verwalten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0047 | Korrelieren Sie Daten zu Vorfällen, um spezifische Sicherheitslücken zu identifizieren und Empfehlungen abzugeben, die eine schnelle Behebung ermöglichen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0051 | Definition eines angemessenen Niveaus der Systemverfügbarkeit auf der Grundlage kritischer Systemfunktionen und Sicherstellung, dass die Systemanforderungen angemessene Anforderungen an die Notfallwiederherstellung und die Kontinuität des Betriebs enthalten, einschließlich der Anforderungen an Ausfallsicherung/alternativen Standort, Backup-Anforderungen und Anforderungen an die materielle Unterstützbarkeit für die Systemwiederherstellung/-wiederbeschaffung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0065 | Entwickeln und implementieren Sie Verfahren zur Netzwerksicherung und -wiederherstellung. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Zonenübergreifendes Load Balancing reduziert die Notwendigkeit, die gleiche Anzahl von Instances in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| T0070 | Entwickeln Sie Pläne für die Notfallwiederherstellung und die Aufrechterhaltung des Betriebs für Systeme, die sich in der Entwicklung befinden, und stellen Sie sicher, dass die Systeme getestet werden, bevor sie in eine Produktionsumgebung übergehen. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| T0086 | Stellen Sie sicher, dass bei der Installation von Sicherheitspatches für kommerzielle Produkte, die in das Systemdesign integriert sind, die von der Verwaltungsbehörde für die vorgesehene Betriebsumgebung festgelegten Zeitpläne eingehalten werden. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0110 | Identifizieren und/oder ermitteln Sie, ob ein Sicherheitsvorfall auf eine Rechtsverletzung hindeutet, die spezifische rechtliche Schritte erfordert. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| T0128 | Integrieren Sie automatisierte Funktionen für die Aktualisierung oder das Patchen von Systemsoftware, sofern dies praktikabel ist, und entwickeln Sie Prozesse und Verfahren für die manuelle Aktualisierung und das Patchen von Systemsoftware auf der Grundlage der aktuellen und geplanten Anforderungen an den Patch-Timeline für die Betriebsumgebung des Systems. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Mit WAF können Sie eine Reihe von Regeln (eine so genannte Web Access Control List (Web ACL)) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel gemäß den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. | |
| T0144 | Verwalten von Konten, Netzwerkrechten und den Zugriff auf Systeme und Geräte. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0151 | Überwachen und bewerten Sie die Wirksamkeit der Cybersicherheitsmaßnahmen des Unternehmens, um sicherzustellen, dass sie das beabsichtigte Schutzniveau bieten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte Lese-/Schreibkapazität erhöhen, um plötzliche Erhöhungen des Datenverkehrs ohne Drosselung zu bewältigen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass Amazon Relational Database Service (Amazon RDS)-Instances den Löschschutz aktiviert haben. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Die Multi-AZ-Unterstützung in Amazon Relational Database Service (Amazon RDS) bietet eine verbesserte Verfügbarkeit und Beständigkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ-Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie den festlegen. allowVersionUpgrade Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0152 | Überwachen und verwalten von Datenbanken, um eine optimale Leistung sicherzustellen. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| T0153 | Überwachen der Netzwerkkapazität und -leistung. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| T0153 | Überwachen der Netzwerkkapazität und -leistung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0153 | Überwachen der Netzwerkkapazität und -leistung. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0153 | Überwachen der Netzwerkkapazität und -leistung. | Redundante Site-to-Site-VPN-Tunnel können implementiert werden, um die Anforderungen an die Ausfallsicherheit zu erfüllen. Dabei werden zwei Tunnel verwendet, um die Konnektivität sicherzustellen, falls eine der Site-to-Site-VPN-Verbindungen nicht verfügbar ist. Mithilfe eines zweiten Kunden-Gateway-Geräts können Sie eine zweite Site-to-Site-VPN-Verbindung mit Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrem Virtual Private Gateway aufbauen, um sich vor einem Verlust an Konnektivität zu schützen, wenn Ihr Kunden-Gateway nicht verfügbar ist. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Aktivieren Sie diese Regel, um die Überwachung der Amazon Elastic Compute Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| T0154 | Überwachen der Nutzung von Ressourcen und Ressourcen im Wissensmanagement und Erstellen entsprechender Berichte. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Durch die Aktivierung verwalteter Plattformupdates für eine Amazon-Elastic-Beanstalk-Umgebung wird sichergestellt, dass die aktuellen verfügbaren Plattform-Fixes, -Updates und -Features für die Umgebung installiert sind. Eine bewährte Methode zur Sicherung von Systemen besteht darin, stets die aktuellen Patches zu installieren. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0156 | Beaufsichtigung und Abgabe von Empfehlungen zum Konfigurationsmanagement. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0160 | Patchen von Netzwerkschwachstellen, um sicherzustellen, dass die Informationen vor Außenstehenden geschützt sind. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0160 | Patchen von Netzwerkschwachstellen, um sicherzustellen, dass die Informationen vor Außenstehenden geschützt sind. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0160 | Patchen von Netzwerkschwachstellen, um sicherzustellen, dass die Informationen vor Außenstehenden geschützt sind. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihre Backup-Verwaltung und ermöglicht es Ihnen, Ihre geschäftlichen und behördlichen Anforderungen bezüglich Backups zu erfüllen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (Amazon RDS) -Instances Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erstellt Redshift alle acht Stunden oder alle 5 GB einen Snapshot für jeden Knoten mit Datenänderungen oder je nachdem, was zuerst eintritt. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihr AWS Backup-Plan auf eine Mindestfrequenz und Aufbewahrung festgelegt ist. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Mit dieser Regel können Sie die Parameter requiredFrequencyValue (Config default: 1), requiredRetentionDays (Config default: 35) und requiredFrequencyUnit (Config default: days) festlegen. Der tatsächliche Wert muss den Anforderungen Ihrer Organisation entsprechen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Stellen Sie sicher, dass die Verschlüsselung für Ihre AWS Backup-Wiederherstellungspunkte aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Die Sicherungsfunktion von Amazon RDS erstellt Sicherungen Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Es verwaltet auch die Backups, indem es sicherstellt, dass die point-in-time Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen Teil eines AWS Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die festlegen allowVersionUpgrade. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) unterstützt die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. CRR ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon S3 Buckets, um die Datenverfügbarkeit sicherzustellen. | |
| T0162 | Durchführung von Sicherungen und Wiederherstellungen von Datenbanken zur Gewährleistung der Datenintegrität. | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| T0166 | Durchführung von Ereigniskorrelation unter Verwendung von Informationen, die aus einer Vielzahl von Quellen innerhalb des Unternehmens gesammelt wurden, um ein Situationsbewusstsein zu erlangen und die Wirksamkeit eines beobachteten Angriffs zu bestimmen. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0168 | Durchführung eines Hash-Vergleichs mit einer bestehenden Datenbank. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität von Protokollen zu überprüfen. CloudTrail Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | AWS Mit WAF können Sie eine Reihe von Regeln (eine so genannte Web Access Control List (Web ACL)) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0195 | Sorgen Sie für einen gesteuerten Fluss relevanter Informationen (über webbasierte Portale oder auf andere Weise) auf der Grundlage der Missionsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0215 | Erkennen eines möglichen Sicherheitsverstoßes und Ergreifen geeigneter Maßnahmen zur Meldung des Vorfalls, soweit erforderlich. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Verwenden Sie die Validierung von AWS CloudTrail Protokolldateien, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0244 | Stellen Sie sicher, dass die Sicherheitsvorkehrungen für Anwendungssoftware, Netzwerk und System wie angegeben umgesetzt werden, dokumentieren Sie Abweichungen und empfehlen Sie die erforderlichen Maßnahmen zur Behebung dieser Abweichungen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0258 | Sorgen Sie für die rechtzeitige Erkennung und Identifizierung möglicher Angriffe/Eingriffe, anomaler Aktivitäten und missbräuchlicher Aktivitäten und unterscheiden Sie diese Vorfälle und Ereignisse von harmlosen Aktivitäten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0259 | Verwenden Sie Tools zur Cyberabwehr zur kontinuierlichen Überwachung und Analyse der Systemaktivitäten, um böswillige Aktivitäten zu identifizieren. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | AWS Mit WAF können Sie eine Reihe von Regeln (als Web Access Control List (Web ACL) bezeichnet) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrstufige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrstufige Schutzmaßnahmen, Robustheit der Sicherheit). | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrstufige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, robuste Sicherheit). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0262 | Wenden Sie anerkannte defense-in-depth Prinzipien und Praktiken an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, Robustheit der Sicherheit). | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0262 | Wenden Sie bewährte defense-in-depth Prinzipien und Verfahren an (z. B. defense-in-multiple Orte, mehrschichtige Schutzmaßnahmen, robuste Sicherheit). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Durch die zentrale Verwaltung AWS-Konten innerhalb von AWS Organizations wird sichergestellt, dass die Konten den Vorschriften entsprechen. Eine fehlende zentrale Kontoverwaltung kann zu inkonsistenten Kontokonfigurationen führen, wodurch Ressourcen und sensible Daten offengelegt werden können. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Mit WAF können Sie eine Reihe von Regeln (eine so genannte Web Access Control List (Web ACL)) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Aktivieren Sie automatische Unterversions-Upgrades auf Ihren Amazon-Relational-Database-Service-(RDS-)-Instances, um sicherzustellen, dass die aktuellen Updates für Unterversionen des Relational Database Management System (RDBMS) installiert sind, die Sicherheitspatches und Bugfixes enthalten können. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass Ihren AWS Backup-Wiederherstellungspunkten eine ressourcenbasierte Richtlinie zugeordnet ist, die das Löschen von Wiederherstellungspunkten verhindert. Die Verwendung einer ressourcenbasierten Richtlinie zur Verhinderung des Löschens von Wiederherstellungspunkten kann dazu beitragen, ein versehentliches oder absichtliches Löschen zu unterbinden. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwenden Sie die AWS CloudTrail Protokolldateivalidierung, um die Integrität der CloudTrail Protokolle zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der Übermittlung CloudTrail unverändert geblieben ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Aus diesem Grund ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht in Codebuild-Projektumgebungen vorhanden sind. AWS Speichern Sie diese Variablen nicht als Klartext. Das Speichern dieser Variablen als Klartext bewirkt eine unbeabsichtigte Offenlegung von Daten sowie unberechtigte Zugriffe. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass die URL des Quell-Repositorys GitHub oder des Bitbucket-Quell-Repositorys keine persönlichen Zugriffstoken oder Anmeldeinformationen in Codebuild-Projektumgebungen enthält. AWS Verwende OAuth anstelle von persönlichen Zugriffstoken oder Anmeldedaten, um die Autorisierung für den Zugriff auf Bitbucket-Repositorys zu gewähren. GitHub | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalte den Zugriff auf die AWS Cloud, indem du sicherstellst, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert „AWS Bewährte grundlegende Sicherheitsmethoden“: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundation Security in Bezug auf die Passwortstärke festgelegt wurden. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Für diese Regel müssen Sie die allowVersionUpgrade festlegen. Der Standardwert ist „true“. Außerdem können Sie optional den Zeitraum preferredMaintenanceWindow (der Standardwert ist sa: 16:00 -sa: 16:30) und den automatedSnapshotRetention Zeitraum (der Standardwert ist 1) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0284 | Entwerfen Entwickeln neuer Tools/Technologien im Zusammenhang mit Cybersicherheit. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0306 | Unterstützt Incident Management, Service Level Management, Change Management, Release Management, Continuity Management und Verfügbarkeitsmanagement für Datenbanken und Datenmanagementsysteme. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Aktivieren Sie diese Regel, um bei der Basiskonfiguration von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu helfen, indem Sie überprüfen, ob Amazon EC2-Instances gemäß den Standards Ihrer Organisation für mehr als die zulässige Anzahl von Tagen gestoppt wurden. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Diese Regel stellt sicher, dass Amazon Elastic Block Store Volumes, die an Amazon Elastic Compute Cloud (Amazon EC2)-Instances angehängt sind, zum Löschen markiert werden, wenn eine Instance beendet wird. Wenn ein Amazon-EBS-Volume beim Löschen der Instance, an die es angehängt ist, beendet wird, kann dies gegen das Konzept der geringsten Funktionalität verstoßen. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Diese Regel sorgt dafür, dass der Löschschutz für Elastic Load Balancing aktiviert ist. Verwenden Sie diese Funktion, um zu verhindern, dass Ihr Load Balancer versehentlich oder böswillig gelöscht wird, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann. | |
| T0314 | Entwickeln Sie einen Systemsicherheitskontext, ein vorläufiges Betriebskonzept für die Systemsicherheit (CONOPS) und definieren Sie grundlegende Anforderungen an die Systemsicherheit gemäß den geltenden Cybersicherheitsanforderungen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0333 | Durchführung von Trendanalysen und -berichten zum Thema Cyberverteidigung. | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0333 | Durchführung von Trendanalysen und -berichten zum Thema Cyberverteidigung. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0347 | Beurteilen Sie die Gültigkeit der Quelldaten und der nachfolgenden Ergebnisse. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0358 | Entwerfen und entwickeln Sie Funktionen zur Systemadministration und -verwaltung für Benutzer mit privilegiertem Zugriff. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| T0376 | Einrichtung, Bereitstellung, Implementierung und Bewertung von Cyber-Workforce-Management-Programmen gemäß den organisatorischen Anforderungen. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Für diese Regel ist ein Wert für erforderlich daysToExpiration (Wert für bewährte AWS Grundregeln für Sicherheit: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon OpenSearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0416 | Ermöglichen Sie Anwendungen mit Public Keying, indem Sie vorhandene PKI-Bibliotheken (Public Key Infrastructure) nutzen und gegebenenfalls Zertifikatsmanagement- und Verschlüsselungsfunktionen einbinden. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0421 | Verwalten Sie die Indexierung/Katalogisierung, Speicherung und den Zugriff auf explizites Unternehmenswissen (z. B. gedruckte Dokumente, digitale Dateien). | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0475 | Bewertung angemessener Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0475 | Bewertung angemessener Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0475 | Bewertung angemessener Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0475 | Bewertung angemessener Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der AWS Cloud. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und need-to-know | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich Amazon OpenSearch OpenSearch Service (Service) -Domains innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine OpenSearch Service-Domain innerhalb einer Amazon VPC ermöglicht die sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0475 | Bewertung angemessener Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und need-to-know | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und. need-to-know | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Prinzipien der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0475 | Beurteilen Sie angemessene Zugriffskontrollen auf der Grundlage der Grundsätze der geringsten Rechte und need-to-know. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Stellen Sie sicher, dass für Amazon OpenSearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung für regionale und globale Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem Aktionen und API-Aufrufe der AWS Management Console aufgezeichnet werden. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| T0489 | Umsetzung von Systemsicherheitsmaßnahmen in Übereinstimmung mit festgelegten Verfahren zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung und Nichtabstreitbarkeit. | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0491 | Installation und Konfiguration von Hardware, Software und Peripheriegeräten für Systembenutzer in Übereinstimmung mit den Unternehmensstandards. | Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Dienste, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie andere Details zu Ihrer Umgebung bereitzustellen. | |
| T0491 | Installation und Konfiguration von Hardware, Software und Peripheriegeräten für Systembenutzer in Übereinstimmung mit den Unternehmensstandards. | Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Basiswerte für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen. | |
| T0491 | Installation und Konfiguration von Hardware, Software und Peripheriegeräten für Systembenutzer in Übereinstimmung mit den Unternehmensstandards. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0503 | Überwachen Sie externe Datenquellen (z. B. Websites von Anbietern von Cyberabwehr, Computer-Notfallteams, Security Focus), um den aktuellen Stand der Cyberabwehr zu gewährleisten und festzustellen, welche Sicherheitsprobleme sich auf das Unternehmen auswirken können. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0509 | Durchführung einer Risikobewertung der Informationssicherheit. | annual-risk-assessment-performed (Prozessüberprüfung) | Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln. |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (Amazon EBS)-Volumes aktiviert ist. Da sensible Daten in diesen Volumes gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon Elasticsearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen an (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement), um Ausnutzungsmöglichkeiten zu verringern. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die node-to-node Verschlüsselung für Amazon Elasticsearch Service aktiviert ist. ode-to-node N-Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der Amazon Virtual Private Cloud (Amazon VPC). Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in einem Amazon S3 Bucket gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihr SageMaker Notebook aktiviert ist. Da vertrauliche Daten im SageMaker Notebook gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Stellen Sie sicher, dass die REST-API-Stufen von Amazon API Gateway mit SSL-Zertifikaten konfiguriert sind, damit Backend-Systeme überprüfen können, ob Anforderungen von API Gateway stammen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten vorhanden sein können und um Daten im Speicher zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre AWS CloudTrail Spuren aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elasticsearch Service (Amazon ES) -Domains aktiviert ist. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Zum Schutz von eventuell vorhandenen sensiblen Daten sowie von Daten während der Übertragung muss die Verschlüsselung für Ihr Elastic Load Balancing aktiviert sein. Verwenden Sie AWS Certificate Manager, um öffentliche und private SSL/TLS-Zertifikate mit AWS Diensten und internen Ressourcen zu verwalten, bereitzustellen und bereitzustellen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Aktivieren Sie die Verschlüsselung für Ihre Amazon-Elastic-Block-Store-(Amazon-EBS-)Volumes, um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Relational Database Service (Amazon RDS)-Instances aktiviert ist. Da sensible Daten in Amazon-RDS-Instances gespeichert werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit AWS Key Management Service (AWS KMS) für Ihren Amazon Redshift Redshift-Cluster aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Redshift-Clustern zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu reduzieren. | Stellen Sie sicher, dass Ihre Amazon-Redshift-Cluster eine TLS/SSL-Verschlüsselung erfordern, um eine Verbindung zu SQL-Clients herzustellen. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Da sensible Daten in Amazon S3 Buckets gespeichert werden können, sollten Sie die Verschlüsselung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen. | |
| T0553 | Wenden Sie Cybersicherheitsfunktionen (z. B. Verschlüsselung, Zugriffskontrolle und Identitätsmanagement) an, um Ausnutzungsmöglichkeiten zu verringern. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung mit dem AWS Key Management Service (AWS KMS) für Ihren SageMaker Endpunkt aktiviert ist. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen. | |
| T0557 | Integration von Schlüsselverwaltungsfunktionen im Zusammenhang mit dem Cyberspace. | Aktivieren Sie die Schlüsselrotation, um sicherzustellen, dass Schlüssel rotiert werden, sobald sie das Ende ihrer Kryptoperiode erreicht haben. | |
| T0557 | Integration von Schlüsselverwaltungsfunktionen im Zusammenhang mit dem Cyberspace. | Um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die erforderlichen Masterschlüssel (Customer Master Keys, CMKs) nicht im AWS Key Management Service (AWS KMS) gelöscht werden. Da Schlüssel manchmal gelöscht werden müssen, können Sie mit dieser Regel alle zu löschenden Schlüssel überprüfen, falls ein Schlüssel versehentlich zur Löschung vorgemerkt wurde. | |
| T0576 | Bewertung von Informationen aus allen Quellen und Empfehlung von Zielen zur Unterstützung der Ziele von Cyberoperationen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | AWS Mit WAF können Sie eine Reihe von Regeln (eine so genannte Web Access Control List (Web ACL)) konfigurieren, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre Amazon-API-Gateway-Stufe mit einer WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die diesen Netzwerkschnittstellen zugehörigen Ressourcen vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Anwendungen oder Server ermöglichen kann. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass auf DMS-Replikationsinstanzen nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass EBS-Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon EMR-Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Wenn Sie eingehenden (oder entfernten) Datenverkehr von 0.0.0.0/0 bis Port 22 auf Ihren Ressourcen nicht zulassen, können Sie den Remote-Zugriff einschränken. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2-)Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon-VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass AWS Lambda-Funktionen nicht öffentlich zugänglich sind. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Stellen Sie AWS Lambda-Funktionen in einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Funktion und anderen Diensten innerhalb der Amazon VPC zu gewährleisten. Bei dieser Konfiguration sind kein Internet-Gateway, kein NAT-Gerät und keine VPN-Verbindung erforderlich. Der gesamte Datenverkehr bleibt sicher in der Cloud. AWS Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Um den Zugriff ordnungsgemäß zu verwalten, sollten AWS Lambda-Funktionen einer VPC zugewiesen werden. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Stellen Sie sicher, dass Amazon-EC2-Routing-Tabellen keine uneingeschränkten Routen zu einem Internet-Gateway enthalten. Das Entfernen oder Beschränken des Internetzugangs für Workloads innerhalb von Amazon VPCs kann unbeabsichtigte Zugriffe in Ihrer Umgebung reduzieren. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (Amazon RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Mit Enhanced-VPC-Routing wird erzwungen, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen Ihrem Cluster und Datenrepositorys über Ihre Amazon VPC erfolgt. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können auch VPC-Flow-Logs verwenden, um den Netzwerkverkehr zu überwachen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Mit dieser Regel können Sie optional die Parameter ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) und restrictPublicBuckets Parameter (Config Default: True) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu Ressourcen bereitstellen. AWS Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre Ressourcen einzuschränken. AWS | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Durch die Beschränkung des Zugriffs auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet (0.0.0.0/0) kann der Fernzugriff auf interne Systeme gesteuert werden. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass sich die Domains von Amazon Elasticsearch Service (Amazon ES) innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) befinden. Eine ES-Domain in einer Amazon VPC ermöglicht eine sichere Kommunikation zwischen Amazon ES und anderen Services innerhalb der Amazon VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung benötigt wird. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff auf Bucket-Ebene verhindert. | |
| T0609 | Durchführung der Zugriffsfreigabe auf drahtlose Computer- und Digitalnetze. | Verwalten Sie den Zugriff auf die AWS Cloud, indem Sie sicherstellen, dass Amazon Virtual Private Cloud (VPC) -Subnetzen nicht automatisch eine öffentliche IP-Adresse zugewiesen wird. Bei Amazon-Elastic-Compute-Cloud (EC2)-Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen. | |
| T0616 | Durchführung von Netzwerk-Scouting und Schwachstellenanalysen von Systemen innerhalb eines Netzwerks. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0686 | Identifizieren von Bedrohungs-Schwachstellen. | Aktivieren Sie diese Regel, um Amazon Elastic Compute Cloud (Amazon EC2)-Schwachstellen zu identifizieren und zu dokumentieren. Die Regel prüft, ob die Amazon EC2 EC2-Instance die Patch-Konformität im AWS Systems Manager gemäß den Richtlinien und Verfahren Ihres Unternehmens einhält. | |
| T0686 | Identifizieren von Bedrohungs-Schwachstellen. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Stellen Sie sicher, dass für Amazon Elasticsearch Service-Domains Fehlerprotokolle aktiviert und zur Aufbewahrung und Beantwortung an Amazon CloudWatch Logs gestreamt werden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | AWS CloudTrail zeichnet Aktionen und API-Aufrufe der AWS Management Console auf. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. CloudTrail übermittelt Protokolldateien aus allen AWS Regionen an Ihren S3-Bucket, wenn MULTI_REGION_CLOUD_TRAIL_ENABLED aktiviert ist. Außerdem wird beim AWS Start einer neuen Region derselbe Trail in der neuen Region erstellt. CloudTrail Dadurch erhalten Sie automatisch Protokolldateien mit API-Aktivitäten für die neue Region. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, stellen Sie sicher, dass die Amazon Relational Database Service (Amazon RDS)-Protokollierung aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | AWS Security Hub hilft bei der Überwachung von unbefugtem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer Dienste. AWS Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS Partnerlösungen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Um die Protokollierung und Überwachung in Ihrer Umgebung zu erleichtern, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. AWS Die WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. In den Protokollen werden die Uhrzeit aufgezeichnet, zu der die AWS WAF die Anfrage von Ihrer AWS Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Verwenden Sie Amazon CloudWatch , um Protokollereignisaktivitäten zentral zu sammeln und zu verwalten. Die Aufnahme von AWS CloudTrail Daten liefert Einzelheiten zu den API-Aufrufaktivitäten in Ihrem AWS-Konto. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | AWS CloudTrail kann durch die Aufzeichnung AWS von Aktionen und API-Aufrufen in der Management Console helfen, die Ablehnung zu verhindern. Sie können die Benutzer und die Benutzer AWS-Konten , die einen AWS Dienst aufgerufen haben, die Quell-IP-Adresse, über die die Aufrufe generiert wurden, und den Zeitpunkt der Anrufe identifizieren. Einzelheiten zu den erfassten Daten finden Sie in den AWS CloudTrail Datensatzinhalten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören Informationen zu dem AWS -Konto, das auf einen Amazon-S3-Bucket zugegriffen hat, die IP-Adresse und die Uhrzeit des Ereignisses. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Aktivieren Sie diese Regel, um die Überwachung der Amazon Elastic Compute Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel erfordert, dass ein Wert für clusterDbEncrypted (Config Default: TRUE) und LoggingEnabled (Config Default: TRUE) gesetzt ist. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | Die Amazon Simple Storage Service (Amazon S3)-Serverzugriffsprotokollierung bietet eine Methode zur Überwachung des Netzwerks im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Ereignisse werden überwacht, indem detaillierte Aufzeichnungen über die Anfragen erfasst werden, die an einen Amazon-S3-Bucket gestellt wurden. Jeder Zugriffsprotokolleintrag enthält Details zu einer einzelnen Zugriffsanfrage. Zu den Details gehören Anforderer, Bucket-Name, Anforderungszeit, Anforderungsaktion, Antwortstatus und Fehlercode, falls relevant. | |
| T0706 | Sammeln Sie Informationen über Netzwerke mithilfe herkömmlicher und alternativer Techniken (z. B. Analyse sozialer Netzwerke, Anrufverkettung, Verkehrsanalyse). | VPC-Flow-Protokolle erfassen detaillierte Informationsdatensätze über den IP-Datenverkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll. | |
| T0777 | Profile von Netzwerk- oder Systemadministratoren und deren Tätigkeiten. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0805 | Meldung nachrichtendienstlich ermittelter signifikanter Netzwerkereignisse und Eindringlinge. | Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS Cloud-Umgebung. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0877 | Zusammenarbeit mit den zuständigen Organisationseinheiten bei der Überwachung der Zugangsrechte zu Verbraucherinformationen | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Mit dieser Regel können Sie optional die Parameter blockedPort1–blockedPort5 festlegen (Standardkonfigurationen: 20, 21, 3389, 3306, 4333). Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0935 | Durchführung einer Risikobewertung der Informationssicherheit. | annual-risk-assessment-performed (Prozessprüfung) | Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikowertungen können dabei helfen, die Wahrscheinlichkeit und Auswirkungen identifizierter Risiken und/oder Schwachstellen für eine Organisation zu ermitteln. |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Diese Regel stellt sicher, dass die Höchst- und Untergrenzen für die Gleichzeitigkeit einer Lambda-Funktion festgelegt werden. Dies kann Sie beim Baselining für die Anzahl der Anforderungen unterstützen, die Ihre Funktion zu einem bestimmten Zeitpunkt verarbeitet. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um das entsprechende Personal über Amazon Simple Queue Service (Amazon SQS) oder Amazon Simple Notification Service (Amazon SNS) zu benachrichtigen, wenn eine Funktion ausgefallen ist. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie Amazon Relational Database Service (Amazon RDS), um die Verfügbarkeit von Amazon RDS zu überwachen. Dies bietet einen detaillierten Einblick in den Zustand Ihrer Amazon-RDS-Datenbank-Instances. Wenn der Amazon-RDS-Speicher mehr als ein zugrunde liegendes physisches Gerät verwendet, erfasst Enhanced Monitoring die Daten für jedes Gerät. Wenn die Datenbank-Instance von Amazon RDS in einer Multi-AZ-Bereitstellung ausgeführt wird, werden außerdem die Daten für jedes Gerät auf dem sekundären Host sowie die Metriken des sekundären Hosts erfasst. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Die Integritätsprüfungen des Elastic Load Balancer (ELB) für Auto Scaling-Gruppen in Amazon Elastic Compute Cloud (Amazon EC2) unterstützen die Aufrechterhaltung einer angemessenen Kapazität und Verfügbarkeit. Der Load Balancer sendet periodisch Pings, unternimmt Verbindungsversuche oder sendet Anfragen zum Testen des Zustands von EC2-Instances in einer Auto-Scaling-Gruppe. Wenn eine Instance nichts zurückmeldet, wird der Datenverkehr an eine neue Amazon-EC2-Instance gesendet. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | AWS Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen. Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Amazon CloudWatch alarmiert, wenn eine Metrik den Schwellenwert für eine bestimmte Anzahl von Bewertungszeiträumen überschreitet. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik oder des Ausdrucks im Vergleich zu einem Schwellenwert in einer Reihe von Zeiträumen abhängt. Diese Regel erfordert einen Wert für alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), okActionRequired (Config Default: False). Der tatsächliche Wert muss die Alarmaktionen für Ihre Umgebung widerspiegeln. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um sicherzustellen, dass die bereitgestellte Durchsatzkapazität in Ihren Amazon-DynamoDB-Tabellen überprüft wird. Dies ist der Umfang der Lese- und Schreibaktivitäten, der von den jeweiligen Tabellen unterstützt werden kann. DynamoDB verwendet diese Informationen für das Reservieren ausreichender Systemressourcen, um Ihren Durchsatzanforderungen gerecht zu werden. Diese Regel generiert eine Warnung, wenn sich der Durchsatz dem Höchstlimit für ein Kundenkonto nähert. Mit dieser Regel können Sie optional die Parameter AccountRCU ThresholdPercentage (Config Default: 80) und AccountWCU ThresholdPercentage (Config Default: 80) festlegen. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0960 | Überwachung von Änderungen an einem System und seiner Betriebsumgebung. | Aktivieren Sie diese Regel, um die Überwachung der Amazon Elastic Compute Cloud (Amazon-EC2)-Instance in der Amazon-EC2-Konsole zu verbessern. Dort werden Überwachungsdiagramme mit einminütigem Intervall für die Instance angezeigt. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | EC2-Instance-Profile übergeben eine IAM-Rolle an eine EC2-Instance. Das Anhängen eines Instance-Profils an Ihre Instances kann bei der Implementierung von geringsten Berechtigungen und der Berechtigungsverwaltung helfen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Wenn für eine Aufgabendefinition erhöhte Berechtigungen gelten, liegt das daran, dass der Kunde diesen Konfigurationen ausdrücklich zugestimmt hat. Diese Kontrolle prüft, ob eine unerwartete Berechtigungseskalation vorliegt, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist, die Kunden aber keine erhöhten Berechtigungen aktiviert haben. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Die Anmeldeinformationen für autorisierte Geräte, Benutzer und Prozesse werden geprüft, indem sichergestellt wird, dass die IAM-Zugriffsschlüssel entsprechend den Vorgaben der Unternehmensrichtlinie rotiert werden. Das regelmäßige Ändern der Zugriffsschlüssel ist eine bewährte Sicherheitsmethode. Es verkürzt den Zeitraum, in dem ein Zugriffsschlüssel aktiv ist, und reduziert die Auswirkungen auf das Unternehmen, wenn die Schlüssel kompromittiert werden. Diese Regel erfordert einen Wert für die Zugriffsschlüssel-Rotation (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Die Zugriffsberechtigungen und -autorisierungen können verwaltet und nach den Prinzipien der geringsten Berechtigung und Aufgabentrennung integriert werden, indem Kerberos für Amazon-EMR-Cluster aktiviert wird. In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb dieses Bereichs wird ein Kerberos-Server als Key Distribution Center (KDC) bezeichnet. Über diesen Server können sich Prinzipale authentifizieren. Die Authentifizierung im KDC erfolgt durch die Ausstellung von Authentifizierungstickets. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen, die von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundation Security in Bezug auf die Passwortstärke festgelegt wurden. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| T0992 | Legen Sie fest, wie die Ergebnisse der kontinuierlichen Überwachung bei der laufenden Genehmigung verwendet werden sollen. | Diese Regel stellt sicher, dass bei AWS Secrets Manager Manager-Geheimnissen die Rotation aktiviert ist. Die regelmäßige Rotation von Secrets kann den Zeitraum verkürzen, in dem ein Secret aktiv ist, und möglicherweise die Auswirkungen auf das Unternehmen verringern, falls das Secret kompromittiert wird. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien blockierte Aktionen für alle AWS Schlüssel des Key Management Service enthalten. Wenn Benutzer mehr Rechte haben, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. Mit dieser Regel können Sie den Parameter festlegen. blockedActionsPatterns (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWS Identity and Access Management (IAM) kann Ihnen helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung mit Zugriffsberechtigungen und Autorisierungen zu integrieren, indem sichergestellt wird, dass IAM-Gruppen mindestens einen Benutzer haben. Die Einteilung von Benutzern in Gruppen auf der Grundlage der ihnen zugewiesenen Berechtigungen oder ihrer Funktion ist eine Möglichkeit, das Prinzip der geringsten Berechtigung zu implementieren. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie verfügt, die blockierte Aktionen für alle AWS Schlüssel des Key Management Service zulässt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. Mit dieser Regel können Sie den blockedActionsPatterns Parameter festlegen. (Wert AWS für bewährte Sicherheitsmethoden: kms:Decrypt, kms: From). ReEncrypt Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Stellen Sie sicher, dass ein Benutzer, eine IAM-Rolle oder eine IAM-Gruppe ( AWS Identity and Access Management) nicht über eine Inline-Richtlinie zur Zugriffskontrolle auf Systeme und Ressourcen verfügt. AWS empfiehlt, verwaltete Richtlinien anstelle von Inline-Richtlinien zu verwenden. Verwaltete Richtlinien ermöglichen Wiederverwendbarkeit, Versionsverwaltung, Rollback und Delegierung der Berechtigungsverwaltung. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Die Identitäten und Anmeldeinformationen werden auf der Grundlage einer organisatorischen IAM-Passwortrichtlinie ausgestellt, verwaltet und verifiziert. Sie erfüllen oder übertreffen die Anforderungen von NIST SP 800-63 und dem Standard „Best Practices“ von AWS Foundational Security für die Passwortstärke. Mit dieser Regel können Sie optional RequireUppercaseCharacters (Wert für AWS grundlegende Sicherheitsbewährte Methoden: wahr), RequireLowercaseCharacters (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireSymbols (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), RequireNumbers (Wert für bewährte Methoden für AWS grundlegende Sicherheit: wahr), MinimumPasswordLength (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 14), PasswordReusePrevention (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 24) und MaxPasswordAge (Wert für bewährte Methoden für AWS grundlegende Sicherheit: 90) für Ihr IAM festlegen Kennwortrichtlinie. Die tatsächlichen Werte müssen den Richtlinien Ihrer Organisation entsprechen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „*“ anstelle von „Resource“: „*“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Stellen Sie sicher, dass IAM-Aktionen nur auf die benötigten Aktionen beschränkt sind. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Rechte und der Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte Funktionen, AWS-Konten um das Prinzip der geringsten Funktionalität zu berücksichtigen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWS Identity and Access Management (IAM) kann Ihnen helfen, Zugriffsberechtigungen und Autorisierungen einzuschränken, indem sichergestellt wird, dass Benutzer Mitglieder mindestens einer Gruppe sind. Wenn Benutzern mehr Berechtigungen eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und Aufgabentrennung verstoßen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Diese Regel stellt sicher, dass AWS Identity and Access Management (IAM) -Richtlinien nur Gruppen oder Rollen zugewiesen werden, um den Zugriff auf Systeme und Ressourcen zu kontrollieren. Die Zuweisung von Berechtigungen auf Gruppen- oder Rollenebene trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass eine Identität übermäßige Berechtigungen erhält oder beibehält. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn ungenutzte Anmeldeinformationen identifiziert werden, müssen Sie sie deaktivieren und/oder entfernen, da dies gegen das Prinzip der geringsten Berechtigung verstoßen könnte. Für diese Regel müssen Sie einen Wert für das maxCredentialUsage Alter festlegen (Standardkonfiguration: 90). Der tatsächliche Wert muss den Richtlinien Ihrer Organisation entsprechen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für alle AWS Identity and Access Management (IAM) -Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für Benutzer vorschreiben, können Sie Fälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS -Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für Benutzer vorschreiben. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass Hardware-MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA sorgt für eine weitere Schutzebene zusätzlich zu den Anmeldeinformationen. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. | |
| T0993 | Einrichtung von Verfahren und Verfahren zur kontinuierlichen Überwachung von Tools und Technologien für die Zugangskontrolle | Verwalten Sie den Zugriff auf Ressourcen in der AWS Cloud, indem Sie sicherstellen, dass MFA für den Root-Benutzer aktiviert ist. Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl AWS-Konten kompromittierter Benutzer reduzieren. |
Vorlage
Die Vorlage ist verfügbar unter GitHub: Operational Best Practices for NIST 800 181
