AWS Grundlegende bewährte Sicherheitsmethoden v1.0.0 (), Standard FSBP - AWS Security Hub
Kontrollen, die für den FSBP Standard gelten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Grundlegende bewährte Sicherheitsmethoden v1.0.0 (), Standard FSBP

Der Standard „Best Practices für AWS grundlegende Sicherheit“ besteht aus einer Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen.

Mit diesem Standard können Sie kontinuierlich all Ihre AWS-Konten Arbeitslasten bewerten, um schnell Bereiche zu identifizieren, in denen Abweichungen von den bewährten Methoden bestehen. Er bietet umsetzbare und verbindliche Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage in Ihrem Unternehmen.

Die Kontrollen beinhalten bewährte Sicherheitsmethoden für Ressourcen verschiedener Anbieter. AWS-Services Jedem Steuerelement wird außerdem eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die es gilt. Weitere Informationen finden Sie unter Liste der Kontrollkategorien in Security Hub.

Kontrollen, die für den FSBP Standard gelten

[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

[ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

[ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein

[APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

[APIGateway.3] API REST API Gateway-Phasen sollten AWS X-Ray Ablaufverfolgung aktiviert

[APIGateway.4] API Das Gateway sollte mit einem WAF Web verknüpft sein ACL

[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden

[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein

[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden

[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden

Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF

[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS

[CloudFront.8] CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS

[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügen AWS Config Dauer

[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden

[Konfig.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein

[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

[DMS.6] Für DMS Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

[DMS.8] Bei DMS Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

[DMS.9] DMS Endpunkte sollten verwenden SSL

[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM

[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

[DMS.12] DMS Endpoints für Redis OSS hätten aktiviert sein müssen TLS

[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time

[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein

[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

[EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

[EC2.20] Beide VPN Tunnel für einen AWS Die Site-to-Site-Verbindung sollte bestehen VPN

[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen

[EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

[EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

[ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

[ECS.2] ECS Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden

[ECS.5] ECS Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Version der Fargate-Plattform laufen

[ECS.12] ECS Cluster sollten Container Insights verwenden

[ECS.16] ECS Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein

[EFS.3] EFS Access Points sollten ein Root-Verzeichnis erzwingen

[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen

[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein

[EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen

[EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein

Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein

[ElastiCache.2] Bei ElastiCache (Redis-OSS) Clustern sollten auto Nebenversions-Upgrades aktiviert sein

[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

[ElastiCache.6] Für ElastiCache (RedisOSS) -Replikationsgruppen früherer Versionen sollte Redis aktiviert sein OSS AUTH

[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden an HTTPS

[ELB.2] Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS

[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden

[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein

[ELB2.8] Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein

[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

[ELB.12] Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben

[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein

[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein

[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben

[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden

[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden

[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

[FSx.1] FSx für offene ZFS Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

[Kleber.2] AWS Glue Für Jobs sollte die Protokollierung aktiviert sein

[Kleber.3] AWS Glue Transformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

[GuardDuty.1] GuardDuty sollte aktiviert sein

[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein

[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden

[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben

[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein

[IAM.7] Die Passwortrichtlinien für IAM Benutzer sollten stark konfiguriert sein

[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden

[IAM.21] Von Ihnen erstellte, vom IAM Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen

[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

[KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

[KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

[KMS.3] AWS KMS keys sollte nicht ungewollt gelöscht werden

[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

[Macie.1] Amazon Macie sollte aktiviert sein

[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM

[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben

Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS

Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein

[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS

[RDS.1] Der RDS Snapshot sollte privat sein

[RDS.2] RDS DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten

[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

[RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

[RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden

[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein

[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden

[RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein

[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden

[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein

[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

[RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

[RDS.17] RDS DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

[RDS.18] RDS Instanzen sollten in einem bereitgestellt werden VPC

[RDS.19] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden

[RDS.20] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden

[RDS.21] Für kritische Ereignisse in Datenbankparametergruppen sollte ein Abonnement für RDS Ereignisbenachrichtigungen konfiguriert werden

[RDS.22] Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS Ereignisbenachrichtigungen konfiguriert werden

[RDS.23] RDS Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

[RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein

[RDS3.6] RDS für SQL Postgre-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein

[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC

[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren

[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren

[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein

[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben

[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben

[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

[ServiceCatalog.1] Servicekatalog-Portfolios sollten innerhalb eines gemeinsam genutzt werden AWS nur Organisation

[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein

[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

[SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

[SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

[SSM.4] SSM Dokumente sollten nicht öffentlich sein

[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

[Transfer.2] Transfer Family Family-Server sollten kein FTP Protokoll für die Endpunktverbindung verwenden

[WAF.1] AWS WAF Die klassische globale ACL Webprotokollierung sollte aktiviert sein

[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten

[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

[WAF.4] AWS WAF Das klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

[WAF.8] AWS WAF Das klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

[WAF1.2] AWS WAF Für Regeln sollten CloudWatch Metriken aktiviert sein

[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden