Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Referenz zu Security Hub-Steuerungen
Diese Kontrollreferenz enthält eine Liste der verfügbaren AWS Security Hub Steuerelemente mit Links zu weiteren Informationen zu den einzelnen Steuerelementen. In der Übersichtstabelle werden die Steuerelemente in alphabetischer Reihenfolge nach der Kontroll-ID angezeigt. Nur Steuerelemente, die von Security Hub aktiv verwendet werden, sind hier enthalten. Nicht mehr verwendete Steuerelemente sind von dieser Liste ausgenommen. Die Tabelle enthält die folgenden Informationen für jedes Steuerelement:
-
ID der Sicherheitskontrolle — Diese ID gilt für alle Standards und gibt die AWS-Service Ressource an, auf die sich die Kontrolle bezieht. In der Security Hub Hub-Konsole wird die Sicherheitskontrolle angezeigt IDs, unabhängig davon, ob die konsolidierten Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die Ergebnisse von Security Hub beziehen sich jedoch IDs nur dann auf die Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, IDs variieren einige Kontrollmöglichkeiten je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
Wenn Sie Automatisierungen für Sicherheitskontrollen einrichten möchten, empfehlen wir, anhand der Kontroll-ID und nicht anhand des Titels oder der Beschreibung zu filtern. Security Hub kann zwar gelegentlich Titel oder Beschreibungen von Steuerelementen aktualisieren, die Steuerung IDs bleibt jedoch dieselbe.
Bei der Steuerung IDs können Zahlen übersprungen werden. Dies sind Platzhalter für future Kontrollen.
-
Anwendbare Standards — Gibt an, für welche Standards eine Kontrolle gilt. Wählen Sie eine Kontrolle aus, um sich spezifische Anforderungen von Compliance-Frameworks von Drittanbietern anzusehen.
-
Titel Sicherheitskontrolle — Dieser Titel gilt für alle Standards. In der Security Hub Hub-Konsole werden Titel der Sicherheitskontrollen angezeigt, unabhängig davon, ob die konsolidierten Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Security Hub Hub-Ergebnisse verweisen jedoch nur dann auf Titel der Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, variieren einige Kontrolltitel je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
-
Schweregrad — Der Schweregrad einer Kontrolle gibt an, wie wichtig sie aus Sicherheitsgründen ist. Informationen darüber, wie Security Hub den Schweregrad der Kontrolle bestimmt, finden Sie unterSchweregrad der Kontrollergebnisse.
-
Zeitplantyp — Gibt an, wann die Kontrolle bewertet wird. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.
-
Unterstützt benutzerdefinierte Parameter — Gibt an, ob das Steuerelement benutzerdefinierte Werte für einen oder mehrere Parameter unterstützt. Wählen Sie ein Steuerelement aus, um die Parameterdetails anzuzeigen. Weitere Informationen finden Sie unter Grundlegendes zu den Steuerparametern in Security Hub.
Wählen Sie ein Steuerelement aus, um weitere Details anzuzeigen. Die Steuerelemente werden in alphabetischer Reihenfolge des Dienstnamens aufgeführt.
| ID der Sicherheitskontrolle | Titel der Sicherheitskontrolle | Anwendbare Normen | Schweregrad | Unterstützt benutzerdefinierte Parameter | Art des Zeitplans |
|---|---|---|---|---|---|
| Account.1 | Sicherheitskontaktinformationen sollten für eine bereitgestellt werden AWS-Konto | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| Konto.2 | AWS-Konto sollte Teil einer Organisation sein AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Regelmäßig |
| ACM.1 | Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst und periodisch |
| ACM.2 | Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ACM.3 | ACM-Zertifikate sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| APIGateway1. | API Gateway, REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway2. | API Gateway, REST-API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway3. | Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| APIGateway4. | API Gateway sollte mit einer WAF-Web-ACL verknüpft sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway5. | API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| APIGateway8. | API-Gateway-Routen sollten einen Autorisierungstyp angeben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| APIGateway9. | Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 AWS Control Tower Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| AppConfig1. | AWS AppConfig Anwendungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig2. | AWS AppConfig Konfigurationsprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig3. | AWS AppConfig Umgebungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppConfig4. | AWS AppConfig Erweiterungszuordnungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppFlow1. | AppFlow Amazon-Datenflüsse sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| AppRunner1. | App Runner-Dienste sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppRunner2. | App Runner VPC-Konnektoren sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppSync1. | AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| AppSync2. | AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| AppSync4. | AWS AppSync GraphQL APIs sollte markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| AppSync5. | AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| AppSync6. | AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| Athena.2 | Athena-Datenkataloge sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Athena.3 | Athena-Arbeitsgruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Athena.4 | Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| AutoScaling1. | Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| AutoScaling2. | Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling3. | Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 AWS Control Tower Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| AutoScaling.5 | EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 AWS Control Tower Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| AutoScaling6. | Auto Scaling Scaling-Gruppen sollten mehrere Instanztypen in mehreren Availability Zones verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling9. | EC2 Auto Scaling Scaling-Gruppen sollten EC2 Startvorlagen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| AutoScaling1.0 | EC2 Auto Scaling Scaling-Gruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Sicherung.1 | AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Sicherung.2 | AWS Backup Wiederherstellungspunkte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.3 | AWS Backup Tresore sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.4 | AWS Backup Berichtspläne sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Sicherung.5 | AWS Backup Backup-Pläne sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.1 | AWS Batch Job-Warteschlangen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.2 | AWS Batch Planungsrichtlinien sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.3 | AWS Batch Rechenumgebungen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Charge.1 | AWS Batch Job-Warteschlangen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudFormation2. | CloudFormation Stapel sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudFront1. | CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| CloudFront3. | CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront4. | CloudFront Bei Distributionen sollte Origin Failover konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| CloudFront5. | CloudFront Bei Distributionen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront6. | CloudFront Bei Distributionen sollte WAF aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront7. | CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| CloudFront8. | CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| CloudFront9. | CloudFront Distributionen sollten den Verkehr zu benutzerdefinierten Ursprüngen verschlüsseln | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.0 | CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.2 | CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| CloudFront1.3 | CloudFront Distributionen sollten Origin Access Control verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | |
Änderung ausgelöst |
| CloudFront1.4 | CloudFront Distributionen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudTrail1. | CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (HOCH) | Regelmäßig | |
| CloudTrail2.2 | CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| CloudTrail3. | Mindestens ein CloudTrail Trail sollte aktiviert sein | PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| CloudTrail.4 | CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | NIEDRIG | |
Regelmäßig |
| CloudTrail5. | CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | NIEDRIG | |
Regelmäßig |
| CloudTrail6. | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst und periodisch |
| CloudTrail7. | Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| CloudTrail9. | CloudTrail Wege sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CloudWatch1. | Für die Verwendung des Root-Benutzers sollten ein Log-Metrikfilter und ein Alarm vorhanden sein | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS | NIEDRIG | |
Regelmäßig |
| CloudWatch2. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind | Benchmark AWS v1.2.0 für CIS Foundations | NIEDRIG | |
Regelmäßig |
| CloudWatch3. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind | Benchmark AWS v1.2.0 für CIS Foundations | NIEDRIG | |
Regelmäßig |
| CloudWatch.4 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GIS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch5. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind | Benchmark AWS für GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch6. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind | Benchmark AWS für GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch7. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch8. | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch9. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind | Benchmark AWS für GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch.10 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch.11 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch1.2 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch1.3 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch.14 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind | Benchmark für AWS GUS-Stiftungen v1.2.0, Benchmark für AWS GUS-Stiftungen v1.4.0 | NIEDRIG | |
Regelmäßig |
| CloudWatch.15 | CloudWatch Für Alarme sollten bestimmte Aktionen konfiguriert sein | NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| CloudWatch1.6 | CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| CloudWatch.17 | CloudWatch Alarmaktionen sollten aktiviert sein | NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| CodeArtifact1. | CodeArtifact Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| CodeBuild1. | CodeBuild Das Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | Änderung ausgelöst | |
| CodeBuild2. | CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Änderung ausgelöst |
| CodeBuild3. | CodeBuild S3-Protokolle sollten verschlüsselt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard:, AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| CodeBuild4. | CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| CodeBuild7. | CodeBuild Exporte von Berichtsgruppen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| CodeGuruProfiler1. | CodeGuru Profiler-Profiling-Gruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| CodeGuruReviewer1. | CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kognito. 1 | In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| Config.1 | AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | KRITISCH | Regelmäßig | |
| Verbinden.1 | Die Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DataFirehose1. | Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| DataSync1. | DataSync Für Aufgaben sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| Detektiv.1 | Verhaltensdiagramme von Detektiven sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.1 | Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Regelmäßig |
| DMS.2 | DMS-Zertifikate sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.3 | DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| DMS.4 | DMS-Replikationsinstanzen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| DMS.5 | Subnetzgruppen für die DMS-Replikation sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| DMS.6 | Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.7 | Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.8 | Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.9 | DMS-Endpunkte sollten SSL verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DMS.10 | Auf DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DMS.11 | Auf DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DMS.12 | Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| DocumentDB DB.1 | Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.2 | Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.3 | Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| DocumentDB DB.4 | Amazon DocumentDB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| DocumentDB DB.5 | Für Amazon DocumentDB-Cluster sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| DynamoDB.1 | DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| DynamoDB.2 | DynamoDB DynamoDB-Tabellen sollte die Wiederherstellung aktiviert point-in-time sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| DynamoDB.3 | DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Dynamo DB.4 | DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Dynamo DB.5 | DynamoDB-Tabellen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Dynamo DB,6 | DynamoDB DynamoDB-Tabellen sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Dynamo DB.7 | DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| EC21. | EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | |
Regelmäßig |
| EC22. | VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | HIGH (HOCH) | |
Änderung ausgelöst |
| EC23. | Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EC24. | Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EC26. | Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | MITTEL | |
Regelmäßig |
| EC27. | Die EBS-Standardverschlüsselung sollte aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EC28. | EC2 Instanzen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| EC29. | EC2 Instanzen sollten keine öffentliche IPv4 Adresse haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC21.0 | Amazon EC2 sollte für die Verwendung von VPC-Endpunkten konfiguriert sein, die für den Amazon-Service erstellt wurden EC2 | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EC21.2 | Unbenutztes EC2 EIPs sollte entfernt werden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| EC21.3 | Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Ausgelöste und periodische Änderung | |
| EC21.4 | Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | Benchmark für CIS Foundations v1.2.0 AWS , PCI DSS v4.0.1 | HIGH (HOCH) | Ausgelöste und periodische Änderung | |
| EC21.5 | EC2 Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard:, AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| EC21.6 | Unbenutzte Network Access Control Lists sollten entfernt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard:, AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| EC21.7 | EC2 Instanzen sollten nicht mehrere verwenden ENIs | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| EC21.8 | Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC21.9 | Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | Änderung ausgelöst und periodisch | |
| EC22.0 | Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EC22.1 | ACLs Das Netzwerk sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| EC22.2 | Unbenutzte EC2 Sicherheitsgruppen sollten entfernt werden | Vom Service verwalteter Standard: AWS Control Tower | MITTEL | Regelmäßig | |
| EC22,3 | EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| EC22.4 | EC2 Paravirtuelle Instanztypen sollten nicht verwendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EC22.5 | EC2 Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| EC22.8 | EBS-Volumes sollten in einem Backup-Plan enthalten sein | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| EC23.3 | EC2 Transit-Gateway-Anhänge sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.4 | EC2 Routentabellen für Transit-Gateways sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.5 | EC2 Netzwerkschnittstellen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.6 | EC2 Kunden-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC23.7 | EC2 Elastische IP-Adressen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC23.8 | EC2 Instanzen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC23.9 | EC2 Internet-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.0 | EC2 NAT-Gateways sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC24.1 | EC2 Netzwerk ACLs sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.2 | EC2 Routentabellen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EC24.3 | EC2 Sicherheitsgruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.4 | EC2 Subnetze sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.5 | EC2 Bände sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.6 | Amazon VPCs sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.7 | Amazon VPC Endpoint Services sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.8 | Amazon VPC-Flow-Logs sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC24.9 | Amazon VPC-Peering-Verbindungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.0 | EC2 VPN-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.1 | EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| EC25.2 | EC2 Transit-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EC25.3 | EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf die Verwaltungsports des Remoteservers zulassen | Benchmark für CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| EC25.4 | EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remoteserver-Verwaltungsports zulassen | Benchmark für CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| EC25.5 | VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,6 | VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,7 | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC25,8 | VPCs sollte mit einem Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC26,0 | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| EC21,70 | EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | NIEDRIG | Änderung ausgelöst | |
| EC21.71 | EC2 Bei VPN-Verbindungen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| EC2.172 | EC2 Die Einstellungen für VPC Block Public Access sollten den Internet-Gateway-Verkehr blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| ECR.1 | Für private ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Regelmäßig |
| ECR.2 | Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ECR.3 | Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ECR.4 | Öffentliche ECR-Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.1 | Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.2 | ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.3 | ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.4 | ECS-Container sollten ohne Zugriffsrechte ausgeführt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.5 | ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.8 | Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.9 | ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| ECS.10 | Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion ausgeführt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ECS.12 | ECS-Cluster sollten Container Insights verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ECS.13 | ECS-Dienste sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.14 | ECS-Cluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.15 | ECS-Aufgabendefinitionen sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ECS.16 | ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| EFS.1 | Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MITTEL | |
Regelmäßig |
| EFS.2 | Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| EFS.3 | EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EFS.4 | EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| EFS. 5 | EFS-Zugangspunkte sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EFS. 6 | EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Regelmäßig | |
| EFS. 7 | EFS EFS-Dateisystemen sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| EFS. 8 | EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| EKS.1 | EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| EKS.2 | EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| EKS.3 | EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| EKS. 6 | EKS-Cluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EKS.7 | Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EKS.8 | Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| ElastiCache1. | ElastiCache Bei Clustern (Redis OSS) sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Regelmäßig |
| ElastiCache2.2 | ElastiCache Bei Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | |
Regelmäßig |
| ElastiCache3. | ElastiCache Für Replikationsgruppen sollte automatisches Failover aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ElastiCache4. | ElastiCache Replikationsgruppen sollten encrypted-at-rest | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ElastiCache5. | ElastiCache Replikationsgruppen sollten encrypted-in-transit | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| ElastiCache6. | ElastiCache (Redis OSS) -Replikationsgruppen früherer Versionen sollten Redis OSS AUTH aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| ElastiCache7. | ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Regelmäßig |
| ElasticBeanstalk1. | In Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| ElasticBeanstalk2. | Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| ElasticBeanstalk3. | Elastic Beanstalk sollte Logs streamen nach CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | |
Änderung ausgelöst |
| ELB.1 | Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ELB.2 | Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.3 | Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.4 | Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.5 | Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.6 | Für Anwendung, Gateway und Network Load Balancer sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| ELB.7 | Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.8 | Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Konfiguration verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.9 | Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.10 | Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.12 | Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.13 | Load Balancer für Anwendungen, Netzwerke und Gateways sollten sich über mehrere Availability Zones erstrecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ELB.14 | Der Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ELB.16 | Application Load Balancer sollten mit einer AWS WAF-Web-ACL verknüpft sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| EMR.1 | Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | HIGH (HOCH) | |
Regelmäßig |
| EMR. 2 | Die Einstellung „Öffentlichen Zugriff blockieren“ in Amazon EMR sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | |
Regelmäßig |
| ES.1 | Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| ES.2 | Elasticsearch-Domains sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Regelmäßig |
| ES.3 | Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard:, AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ES.4 | Die Protokollierung von Elasticsearch-Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.5 | Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| ES.6 | Elasticsearch-Domains sollten mindestens drei Datenknoten haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.7 | Elasticsearch-Domains sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| ES.8 | Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | Änderung ausgelöst | |
| ES.9 | Elasticsearch-Domains sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| EventBridge2.2 | EventBridge Eventbusse sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| EventBridge3. | EventBridge maßgeschneiderte Eventbusse sollten mit einer ressourcenbasierten Richtlinie versehen sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| EventBridge4. | EventBridge Auf globalen Endpunkten sollte die Ereignisreplikation aktiviert sein | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| FraudDetector1. | Die Entitätstypen von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector2.2 | Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector3. | Die Ergebnisse von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FraudDetector4. | Die Variablen von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| FSx1. | FSx für OpenZFS sollten Dateisysteme so konfiguriert sein, dass sie Tags auf Backups und Volumes kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| FSx2. | FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass sie Tags in Backups kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | Regelmäßig | |
| Kleber.1 | AWS Glue Jobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kleber.3 | AWS Glue Transformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| GlobalAccelerator1. | Global Accelerator-Beschleuniger sollten markiert sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty1. | GuardDuty sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Regelmäßig |
| GuardDuty2.2. | GuardDuty Filter sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty3. | GuardDuty IPSets sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty4. | GuardDuty Detektoren sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| GuardDuty5. | GuardDuty EKS Audit Log Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.6 | GuardDuty Lambda-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.7 | GuardDuty EKS Runtime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| GuardDuty8. | GuardDuty Der Malware-Schutz für EC2 sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.9 | GuardDuty Der RDS-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| GuardDuty.10 | GuardDuty S3-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| IAM.1 | IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen | CIS AWS Foundations Benchmark v1.2.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| IAM.2 | IAM-Benutzern sollten keine IAM-Richtlinien zugewiesen sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | NIEDRIG | |
Änderung ausgelöst |
| IAM.3 | Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| IAM.4 | Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | KRITISCH | |
Regelmäßig |
| IAM.5 | MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| IAM.6 | Hardware-MFA sollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Regelmäßig |
| IAM.7 | Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| IAM.8 | Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden | CIS AWS Foundations Benchmark v1.2.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| IAM.9 | MFA sollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Regelmäßig |
| ICH BIN .10 | Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben | PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.11 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.12 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.13 | Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.14 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.15 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0 AWS | MITTEL | |
Regelmäßig |
| IAM.16 | Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert | Benchmark für AWS GUS-Stiftungen v3.0.0, Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| IAM.17 | Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| IAM.18 | Stellen Sie sicher, dass eine Support-Rolle für die Bearbeitung von Vorfällen eingerichtet wurde Support | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, AWS PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| ICH BIN. 19 | MFA sollte für alle IAM-Benutzer aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| IAM.21 | Von Ihnen erstellte, vom Kunden verwaltete IAM-Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| IAM.22 | IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0 | MITTEL | |
Regelmäßig |
| ICH BIN. 23 | IAM Access Analyzer-Analyzer sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN. 24 | IAM-Rollen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN .25 | IAM-Benutzer sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| ICH BIN .26 | Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden | Benchmark v3.0.0 für CIS Foundations AWS | MITTEL | Regelmäßig | |
| ICH BIN. 27 | IAM-Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloud ShellFullAccess | Benchmark v3.0.0 für CIS AWS Foundations | MITTEL | Änderung ausgelöst | |
| ICH BIN .28 | Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein | Benchmark AWS v3.0.0 für CIS Foundations | HIGH (HOCH) | Regelmäßig | |
| Inspektor.1 | Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.2 | Das Amazon Inspector ECR-Scannen sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.3 | Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Inspektor.4 | Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| IoT. 1 | AWS IoT Device Defender Sicherheitsprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.2 | AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.3 | AWS IoT Core Abmessungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.4 | AWS IoT Core Autorisierer sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT.5 | AWS IoT Core Rollenaliase sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IoT. 6 | AWS IoT Core Richtlinien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 1. | AWS IoT Events Eingaben sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 1.2 | AWS IoT Events Detektormodelle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TEvents 3. | AWS IoT Events Alarmmodelle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.1 | AWS IoT SiteWise Asset-Modelle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.2 | AWS IoT SiteWise Dashboards sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.3 | AWS IoT SiteWise Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.4 | AWS IoT SiteWise Portale sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Ich TSite weise.5 | AWS IoT SiteWise Projekte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.1 | AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.2 | AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.3 | AWS TwinMaker IoT-Szenen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Io TTwin Maker.4 | AWS TwinMaker IoT-Entitäten sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 1. | AWS IoT-Wireless-Multicast-Gruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 1.2 | AWS IoT-Wireless-Serviceprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| iOS TWireless 3. | AWS IoT Wireless FUOTA-Aufgaben sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.1 | Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.2 | IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| IVS.3 | IVS-Kanäle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Tastenfelder.1 | Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Kinesis.1 | Kinesis-Streams sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Kinese.2 | Kinesis-Streams sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Kinese.3 | Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| KMS.1 | Vom Kunden verwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| KMS.2 | IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| KMS.3 | AWS KMS keys sollte nicht ungewollt gelöscht werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| KMS.4 | AWS KMS key Die Rotation sollte aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| KMS.5 | KMS-Schlüssel sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | KRITISCH | Änderung ausgelöst | |
| Lambda.1 | Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Änderung ausgelöst |
| Lambda.2 | Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Lambda.3 | Lambda-Funktionen sollten sich in einer VPC befinden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| Lambda.5 | VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Lambda.6 | Lambda-Funktionen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Macie.1 | Amazon Macie sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| Macie.2 | Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Regelmäßig | |
| MSK.1 | MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| MSK.2 | Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein | NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| MSK.3 | MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| MQ. 2 | ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| MQ. 3 | Amazon MQ-Broker sollten das automatische Upgrade der Nebenversion aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | Änderung ausgelöst | |
| MQ. 4 | Amazon MQ-Broker sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| MQ.5 | ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden | NIST SP 800-53 Rev. 5, durch Service verwalteter Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| MQ.6 | RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden | NIST SP 800-53 Rev. 5, vom Service verwalteter Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| Neptun.1 | Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Neptun.2 | Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Neptun.3 | Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | KRITISCH | |
Änderung ausgelöst |
| Neptun.4 | Neptune Neptune-DB-Clustern sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| Neptun.5 | Neptune Neptune-DB-Clustern sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Neptun.6 | Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Neptun.7 | Neptune Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Neptun.8 | Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| Neptun.9 | Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall1. | Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall2.2 | Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| NetworkFirewall3. | Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall4. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ lauten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall5. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ lauten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall6. | Die Regelgruppe der Stateless Network Firewall sollte nicht leer sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| NetworkFirewall7. | Netzwerk-Firewall-Firewalls sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| NetworkFirewall8. | Netzwerk-Firewall-Firewall-Richtlinien sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| NetworkFirewall9. | Network Firewall Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.1 | OpenSearch Bei Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.2 | OpenSearch Domains sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| OpenSearch.3 | OpenSearch Domänen sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.4 | OpenSearch Die Protokollierung von Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.5 | OpenSearch Für Domänen sollte die Auditprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| OpenSearch.6 | OpenSearch Domänen sollten mindestens drei Datenknoten haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| OpenSearch.7 | OpenSearch Für Domänen sollte eine fein abgestufte Zugriffskontrolle aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| OpenSearch.8 | Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| Suche öffnen.9 | OpenSearch Domains sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Suche öffnen.10 | OpenSearch Auf den Domains sollte das neueste Softwareupdate installiert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Änderung ausgelöst |
| Opensearch.11 | OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben | NIST SP 800-53 Rev. 5 | NIEDRIG | Regelmäßig | |
| PCA.1 | AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Regelmäßig |
| PCA.2 | AWS Private Zertifizierungsstellen sollten gekennzeichnet werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.1 | Der RDS-Snapshot sollte privat sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | |
Änderung ausgelöst |
| RDS.2 | RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | |
Änderung ausgelöst |
| RDS.3 | Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| RDS.4 | RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.5 | RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.6 | Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.7 | Für RDS-Cluster sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.8 | Für RDS-DB-Instances sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.9 | RDS-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| RDS.10 | Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.11 | Für RDS-Instanzen sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.12 | Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.13 | Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| RDS.14 | Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.15 | RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| RDS.16 | RDS-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.17 | RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.18 | RDS-Instances sollten in einer VPC bereitgestellt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| RDS.19 | Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.20 | Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| RDS.21 | Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| RDS.22 | Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS-Ereignisbenachrichtigungen konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| RDS.23 | RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | |
Änderung ausgelöst |
| RDS.24 | RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.25 | RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| RDS.26 | RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden | NIST SP 800-53 Rev. 5 | MITTEL | |
Regelmäßig |
| RDS.27 | RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| RDS.28 | RDS-DB-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.29 | Snapshots des RDS-DB-Clusters sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.30 | RDS-DB-Instances sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.31 | RDS-DB-Sicherheitsgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.32 | RDS-DB-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.33 | RDS-DB-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| RDS.34 | Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.35 | Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| RDS.36 | RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| RDS.37 | Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| RDS.38 | RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Regelmäßig | |
| RDS.39 | RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Regelmäßig | |
| Redshift.1 | Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | KRITISCH | |
Änderung ausgelöst |
| Redshift.2 | Verbindungen zu Amazon Redshift Redshift-Clustern sollten während der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Redshift.3 | Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.4 | Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| Redshift.6 | Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.7 | Redshift-Cluster sollten erweitertes VPC-Routing verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.8 | Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.9 | Redshift-Cluster sollten nicht den Standarddatenbanknamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Redshift.10 | Redshift-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| Rotverschiebung.11 | Redshift-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.12 | Abonnementbenachrichtigungen für Redshift-Ereignisse sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.13 | Redshift-Cluster-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.14 | Redshift-Cluster-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| Rotverschiebung.15 | Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Ursprüngen zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Regelmäßig | |
| Rotverschiebung.16 | Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| Route 53.1 | Route 53-Gesundheitschecks sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Route 53.2 | In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| S3.1 | Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | Regelmäßig | |
| S3.2 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | Änderung ausgelöst und periodisch | |
| S3.3 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Schreibzugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | Änderung ausgelöst und periodisch | |
| S3.5 | Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | MITTEL | Änderung ausgelöst | |
| S3.6 | Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Änderung ausgelöst | |
| S3.7 | S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.8 | S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | Änderung ausgelöst | |
| S3.9 | Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | Änderung ausgelöst | |
| S3.10 | S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| S3.11 | Für S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| S3.12 | ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| S3.13 | S3-Buckets für allgemeine Zwecke sollten Lifecycle-Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.14 | Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.15 | Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Änderung ausgelöst | |
| S3.17 | S3-Buckets für allgemeine Zwecke sollten im Ruhezustand mit verschlüsselt werden AWS KMS keys | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, vom Service verwalteter Standard: AWS Control Tower | MITTEL | Änderung ausgelöst | |
| S3.19 | Bei S3-Zugangspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | Änderung ausgelöst | |
| S3.20 | Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | NIEDRIG | Änderung ausgelöst | |
| S3.22 | S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren | Benchmark für CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| S3.23 | S3-Buckets für allgemeine Zwecke sollten Leseereignisse auf Objektebene protokollieren | Benchmark für CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| S3.24 | Für S3-Access Points mit mehreren Regionen sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | Änderung ausgelöst | |
| SageMaker1. | Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Regelmäßig |
| SageMaker2.2. | SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| SageMaker3. | Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instanzen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | |
Änderung ausgelöst |
| SageMaker4. | SageMaker Bei Produktionsvarianten für Endgeräte sollte die anfängliche Anzahl der Instanzen größer als 1 sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | Regelmäßig | |
| SageMaker5. | SageMaker Modelle sollten eingehenden Verkehr blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| SecretsManager1. | Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| SecretsManager2.2 | Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Änderung ausgelöst |
| SecretsManager3. | Unbenutzte Secrets Manager Manager-Geheimnisse entfernen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| SecretsManager4. | Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed-Standard: AWS Control Tower | MITTEL | |
Regelmäßig |
| SecretsManager5. | Secrets Manager Manager-Geheimnisse sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| ServiceCatalog1. | Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | Regelmäßig | |
| SES.1 | SES-Kontaktlisten sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SES.2 | SES-Konfigurationssätze sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SNS.1 | SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS | NIST SP 800-53 Rev. 5 | MITTEL | Änderung ausgelöst | |
| SNS.3 | SNS-Themen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| SNS.4 | Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH (HOCH) | Änderung ausgelöst | |
| SQS.1 | Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| SQS.2 | SQS-Warteschlangen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | Änderung ausgelöst | |
| SSM.1 | EC2 Instanzen sollten verwaltet werden von AWS Systems Manager | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| SSM.2 | EC2 Von Systems Manager verwaltete Instanzen sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (HOCH) | |
Änderung ausgelöst |
| SSM.3 | EC2 Von Systems Manager verwaltete Instanzen sollten den Zuordnungs-Compliance-Status COMPLIANT haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | NIEDRIG | |
Änderung ausgelöst |
| SSM.4 | SSM-Dokumente sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITISCH | |
Regelmäßig |
| StepFunctions1. | Step Functions, bei Zustandsmaschinen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 | MITTEL | |
Änderung ausgelöst |
| StepFunctions2.2 | Step Functions Functions-Aktivitäten sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.1 | Die Workflows von Transfer Family sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | Änderung ausgelöst | |
| Übertragung.2 | Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | Regelmäßig | |
| WAF.1 | AWS Die WAF Classic Global Web ACL-Protokollierung sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | |
Regelmäßig |
| WAF.2 | AWS Die regionalen Regeln von WAF Classic sollten mindestens eine Bedingung enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.3 | AWS WAF Classic Regional Regelgruppen sollten mindestens eine Regel haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.4 | AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.6 | AWS Globale WAF Classic-Regeln sollten mindestens eine Bedingung haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.7 | AWS Globale WAF Classic-Regelgruppen sollten mindestens eine Regel haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.8 | AWS WAF Classic Global Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.10 | AWS Das WAF-Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WAF.11 | AWS Die WAF-Web-ACL-Protokollierung sollte aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | NIEDRIG | |
Regelmäßig |
| WAF. 12 | AWS Bei WAF-Regeln sollten Metriken aktiviert sein CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MITTEL | |
Änderung ausgelöst |
| WorkSpaces1. | WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst | |
| WorkSpaces2.2 | WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | Änderung ausgelöst |
Themen
- Security Hub-Steuerungen für AWS-Konten
- Security Hub-Steuerelemente für API Gateway
- Security Hub-Steuerungen für AWS AppConfig
- Security Hub-Steuerelemente für Amazon AppFlow
- Security Hub-Steuerungen für AWS App Runner
- Security Hub-Steuerungen für AWS AppSync
- Security Hub-Steuerelemente für Athena
- Security Hub-Steuerungen für AWS Backup
- Security Hub-Steuerungen für AWS Batch
- Security Hub-Steuerungen für ACM
- Security Hub-Steuerungen für AWS CloudFormation
- Security Hub-Steuerungen für CloudFront
- Security Hub-Steuerungen für CloudTrail
- Security Hub-Steuerungen für CloudWatch
- Security Hub-Steuerungen für CodeArtifact
- Security Hub-Steuerungen für CodeBuild
- Security Hub-Steuerelemente für Amazon CodGuru Profiler
- Security Hub-Steuerelemente für Amazon CodeGuru Reviewer
- Security Hub-Steuerelemente für Amazon Cognito
- Security Hub-Steuerungen für AWS Config
- Security Hub-Steuerelemente für Amazon Connect
- Security Hub-Steuerelemente für Amazon Data Firehose
- Security Hub-Steuerungen für DataSync
- Security Hub-Steuerelemente für Detective
- Security Hub-Steuerungen für AWS DMS
- Security Hub-Steuerelemente für Amazon DocumentDB
- Security Hub-Steuerelemente für DynamoDB
- Security Hub-Steuerelemente für Amazon EC2
- Security Hub-Steuerelemente für Auto Scaling
- Security Hub-Steuerelemente für Amazon ECR
- Security Hub-Steuerelemente für Amazon ECS
- Security Hub-Steuerelemente für Amazon EFS
- Security Hub-Steuerelemente für Amazon EKS
- Security Hub-Steuerungen für ElastiCache
- Security Hub-Steuerelemente für Elastic Beanstalk
- Security Hub-Steuerelemente für Elastic Load Balancing
- Security Hub für Elasticsearch
- Security Hub-Steuerelemente für Amazon EMR
- Security Hub-Steuerungen für EventBridge
- Security Hub-Steuerelemente für Amazon Fraud Detector
- Security Hub-Steuerelemente für Amazon FSx
- Security Hub-Steuerungen für Global Accelerator
- Security Hub-Steuerungen für AWS Glue
- Security Hub-Steuerungen für GuardDuty
- Security Hub-Steuerelemente für IAM
- Security Hub-Steuerelemente für Amazon Inspector
- Security Hub-Steuerungen für AWS IoT
- Security Hub-Steuerungen für AWS IoT Events
- Security Hub-Steuerungen für AWS IoT SiteWise
- Security Hub-Steuerungen für das AWS IoT TwinMaker
- Security Hub-Steuerungen für AWS IoT Wireless
- Security Hub-Steuerelemente für Amazon IVS
- Security Hub-Steuerelemente für Amazon Keyspaces
- Security Hub-Steuerelemente für Kinesis
- Security Hub-Steuerungen für AWS KMS
- Security Hub-Steuerelemente für Lambda
- Security Hub-Steuerelemente für Macie
- Security Hub-Steuerelemente für Amazon MSK
- Security Hub-Steuerelemente für Amazon MQ
- Security Hub-Steuerungen für Neptune
- Security Hub-Steuerelemente für die Network Firewall
- Security Hub-Steuerelemente für den OpenSearch Service
- Security Hub-Steuerungen für AWS Private CA
- Security Hub-Steuerelemente für Amazon RDS
- Security Hub-Steuerelemente für Amazon Redshift
- Security Hub-Steuerelemente für Route 53
- Security Hub-Steuerelemente für Amazon S3
- Security Hub-Steuerungen für SageMaker KI
- Security Hub-Steuerelemente für Secrets Manager
- Security Hub-Steuerelemente für Service Catalog
- Security Hub-Steuerelemente für Amazon SES
- Security Hub-Steuerelemente für Amazon SNS
- Security Hub-Steuerelemente für Amazon SQS
- Security Hub-Steuerelemente für Step Functions
- Security Hub-Steuerelemente für Systems Manager
- Security Hub-Steuerelemente für Transfer Family
- Security Hub-Steuerungen für AWS WAF
- Security Hub-Steuerungen für WorkSpaces
