Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Standard für grundlegende bewährte Sicherheitsverfahren v1.0.0 (FSBP)
Der Standard AWS für bewährte Sicherheitsverfahren besteht aus einer Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen.
Mit diesem Standard können Sie kontinuierlich all Ihre AWS-Konten Arbeitslasten bewerten, um schnell Bereiche zu identifizieren, in denen Abweichungen von den bewährten Methoden bestehen. Er bietet umsetzbare und verbindliche Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage in Ihrem Unternehmen.
Die Kontrollen beinhalten bewährte Sicherheitsmethoden für Ressourcen verschiedener Anbieter. AWS-Services Jedem Steuerelement wird außerdem eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die es gilt. Weitere Informationen finden Sie unter Liste der Kontrollkategorien in Security Hub.
Kontrollen, die für den FSBP-Standard gelten
[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
[DMS.9] DMS Endgeräte sollten verwenden SSL
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
[EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
[EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben
[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2
[EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
[ECS.2] ECS Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden
[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
[ECS.12] ECS Cluster sollten Container Insights verwenden
[ECS.16] ECS Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein
[EFS.8] EFS Dateisysteme sollten im Ruhezustand verschlüsselt werden
[EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen
[EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein
[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben
[GuardDuty.1] GuardDuty sollte aktiviert sein
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen
[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.
[IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen
[KMS.3] AWS KMS keys sollte nicht versehentlich gelöscht werden
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
[Macie.1] Amazon Macie sollte aktiviert sein
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
[PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
[RDS.1] Der RDS-Snapshot sollte privat sein
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.
[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden
[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein
[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein
[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden
[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein
[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden
[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
[RDS.16] RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren
[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden
[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren
[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren
[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
[SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
[SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
[SNS.4] Richtlinien für den Zugriff auf SNS Themen sollten keinen öffentlichen Zugriff zulassen
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
[SSM.4] SSM Dokumente sollten nicht öffentlich sein
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
[WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden