Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Referenz zu Security Hub-Steuerungen
Diese Kontrollreferenz enthält eine Liste der verfügbaren AWS Security Hub Steuerelemente mit Links zu weiteren Informationen zu den einzelnen Steuerelementen. In der Übersichtstabelle werden die Steuerelemente in alphabetischer Reihenfolge nach der Kontroll-ID angezeigt. Nur Steuerelemente, die von Security Hub aktiv verwendet werden, sind hier enthalten. Nicht mehr verwendete Steuerelemente sind von dieser Liste ausgenommen. Die Tabelle enthält die folgenden Informationen für jedes Steuerelement:
-
ID der Sicherheitskontrolle — Diese ID gilt für alle Standards und gibt die AWS-Service Ressource an, auf die sich die Kontrolle bezieht. In der Security Hub Hub-Konsole wird die Sicherheitskontrolle angezeigtIDs, unabhängig davon, ob die konsolidierten Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die Ergebnisse von Security Hub beziehen sich jedoch IDs nur dann auf die Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, IDs variieren einige Kontrollmöglichkeiten je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
Wenn Sie Automatisierungen für Sicherheitskontrollen einrichten möchten, empfehlen wir, anhand der Kontroll-ID und nicht anhand des Titels oder der Beschreibung zu filtern. Security Hub kann zwar gelegentlich Titel oder Beschreibungen von Steuerelementen aktualisieren, die Steuerung IDs bleibt jedoch dieselbe.
Bei der Steuerung IDs können Zahlen übersprungen werden. Dies sind Platzhalter für future Kontrollen.
-
Anwendbare Standards — Gibt an, für welche Standards eine Kontrolle gilt. Wählen Sie eine Kontrolle aus, um sich spezifische Anforderungen von Compliance-Frameworks von Drittanbietern anzusehen.
-
Titel Sicherheitskontrolle — Dieser Titel gilt für alle Standards. In der Security Hub Hub-Konsole werden Titel der Sicherheitskontrollen angezeigt, unabhängig davon, ob die konsolidierten Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Security Hub Hub-Ergebnisse verweisen jedoch nur dann auf Titel der Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, variieren einige Kontrolltitel je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
-
Schweregrad — Der Schweregrad einer Kontrolle gibt an, wie wichtig sie unter Sicherheitsgesichtspunkten ist. Informationen darüber, wie Security Hub den Schweregrad der Kontrolle bestimmt, finden Sie unterSchweregrad der Kontrollergebnisse.
-
Zeitplantyp — Gibt an, wann die Kontrolle bewertet wird. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.
-
Unterstützt benutzerdefinierte Parameter — Gibt an, ob das Steuerelement benutzerdefinierte Werte für einen oder mehrere Parameter unterstützt. Wählen Sie ein Steuerelement aus, um die Parameterdetails anzuzeigen. Weitere Informationen finden Sie unter Grundlegendes zu den Steuerungsparametern in Security Hub.
Wählen Sie ein Steuerelement aus, um weitere Details anzuzeigen. Die Steuerelemente werden in alphabetischer Reihenfolge des Dienstnamens aufgeführt.
| ID der Sicherheitskontrolle | Titel der Sicherheitskontrolle | Anwendbare Normen | Schweregrad | Unterstützt benutzerdefinierte Parameter | Art des Zeitplans |
|---|---|---|---|---|---|
| Account.1 | Sicherheitskontaktinformationen sollten für eine bereitgestellt werden AWS-Konto | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Regelmäßig | |
| Konto.2 | AWS-Konto sollte Teil einer Organisation sein AWS Organizations | NISTSP 800-53 Rev. 5 | HIGH | |
Regelmäßig |
| ACM1. | ACMImportierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | MEDIUM | |
Ausgelöste und periodische Änderung |
| ACM2. | RSAZertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | |
Änderung ausgelöst |
| ACM3. | ACMZertifikate sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| APIGateway1. | APIDie Gateway REST - und WebSocket API Ausführungsprotokollierung sollten aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| APIGateway2. | APIRESTAPIGateway-Phasen sollten so konfiguriert sein, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| APIGateway3. | APIBei REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Änderung ausgelöst |
| APIGateway4. | APIDas Gateway sollte mit einem WAF Web verknüpft sein ACL | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| APIGateway5. | APIRESTAPIGateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| APIGateway8. | APIGateway-Routen sollten einen Autorisierungstyp angeben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| APIGateway.9 | Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| AppSync1. | AWS AppSync APICaches sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| AppSync2.2 | AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| AppSync4. | AWS AppSync GraphQL APIs sollte markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| AppSync5. | AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Änderung ausgelöst |
| AppSync6. | AWS AppSync APICaches sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| Athena.2 | Athena-Datenkataloge sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Athena.3 | Athena-Arbeitsgruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Athena.4 | Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| AutoScaling1. | Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 NIST | LOW | Änderung ausgelöst | |
| AutoScaling2.2 | Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| AutoScaling3. | Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5, v4.0.1 PCI DSS | HIGH | |
Änderung ausgelöst |
| AutoScaling.5 | EC2Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5, v4.0.1 PCI DSS | HIGH | |
Änderung ausgelöst |
| AutoScaling6. | Auto Scaling Scaling-Gruppen sollten mehrere Instanztypen in mehreren Availability Zones verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| AutoScaling9. | EC2Auto Scaling Scaling-Gruppen sollten EC2 Startvorlagen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| AutoScaling1.0 | EC2Auto Scaling Scaling-Gruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Sicherung.1 | AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| Sicherung.2 | AWS Backup Wiederherstellungspunkte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Sicherung.3 | AWS Backup Tresore sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Sicherung.4 | AWS Backup Berichtspläne sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Sicherung.5 | AWS Backup Backup-Pläne sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| CloudFormation2.2 | CloudFormation Stapel sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| CloudFront1. | CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | Änderung ausgelöst | |
| CloudFront3. | CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| CloudFront4. | CloudFront Bei Distributionen sollte Origin Failover konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Änderung ausgelöst |
| CloudFront5. | CloudFront Bei Distributionen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| CloudFront6. | CloudFront Distributionen hätten aktiviert werden müssen WAF | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| CloudFront7. | CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| CloudFront8. | CloudFront Distributionen sollten zur Bearbeitung von Anfragen verwendet SNI werden HTTPS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| CloudFront9. | CloudFront Distributionen sollten den Verkehr zu benutzerdefinierten Ursprüngen verschlüsseln | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| CloudFront1.0 | CloudFront Distributionen sollten keine veralteten SSL Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5, NIST v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| CloudFront1.2 | CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Regelmäßig |
| CloudFront1.3 | CloudFront Distributionen sollten Origin Access Control verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | |
Änderung ausgelöst |
| CloudFront1.4 | CloudFront Distributionen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| CloudTrail1. | CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Regelmäßig | |
| CloudTrail2.2 | CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS PCI DSS AWS Control Tower | MEDIUM | |
Regelmäßig |
| CloudTrail3. | Mindestens ein CloudTrail Trail sollte aktiviert sein | PCIDSSv3.2.1, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| CloudTrail.4 | CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, v4.0.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 CIS AWS NIST | LOW | |
Regelmäßig |
| CloudTrail3.5 | CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, PCI DSS Service-Managed Standard: PCI DSS AWS Control Tower | LOW | |
Regelmäßig |
| CloudTrail.6 | Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist | CIS AWS Benchmark für Grundlagen v1.2.0, Benchmark für CIS AWS Grundlagen v1.4.0, v4.0.1 PCI DSS | CRITICAL | |
Ausgelöste und periodische Änderung |
| CloudTrail7. | Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0, Benchmark für CIS AWS Stiftungen v3.0.0, v4.0.1 PCI DSS | LOW | |
Regelmäßig |
| CloudTrail.9 | CloudTrail Wege sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| CloudWatch1. | Für die Verwendung des Root-Benutzers sollten ein Log-Metrikfilter und ein Alarm vorhanden sein | CIS AWS Benchmark für Grundlagen v1.2.0, PCI DSS v3.2.1, CIS AWS Benchmark für Grundlagen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch2.2 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für unautorisierte API Anrufe vorhanden sind | CIS AWS Benchmark v1.2.0 für Grundlagen | LOW | |
Regelmäßig |
| CloudWatch3. | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console vorhanden sind, ohne MFA | CIS AWS Benchmark für Grundlagen v1.2.0 | LOW | |
Regelmäßig |
| CloudWatch1.4 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM Richtlinienänderungen vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.5 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch5.6 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.7 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.8 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.9 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.0 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.1 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists () NACL vorhanden sind | CIS AWS Benchmark für Grundlagen v1.2.0, Benchmark für CIS AWS Grundlagen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.2 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.3 | Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.4 | Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC Änderungen vorhanden sind | CIS AWS Benchmark für Stiftungen v1.2.0, Benchmark für CIS AWS Stiftungen v1.4.0 | LOW | |
Regelmäßig |
| CloudWatch1.5 | CloudWatch Für Alarme sollten bestimmte Aktionen konfiguriert sein | NISTSP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| CloudWatch1.6 | CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden | NISTSP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| CloudWatch1,7 | CloudWatch Alarmaktionen sollten aktiviert sein | NISTSP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| CodeArtifact1. | CodeArtifact Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| CodeBuild1. | CodeBuild Das Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, Service-Managed-Standard: PCI DSS AWS Control Tower | CRITICAL | Änderung ausgelöst | |
| CodeBuild2.2 | CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | CRITICAL | |
Änderung ausgelöst |
| CodeBuild3. | CodeBuild S3-Protokolle sollten verschlüsselt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard:, AWS Control Tower | LOW | |
Änderung ausgelöst |
| CodeBuild4. | CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| CodeBuild7. | CodeBuild Exporte von Berichtsgruppen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| Config.1 | AWS Config sollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, SP 800-53 Rev. 5, v3.2.1 NIST PCI DSS | CRITICAL | Regelmäßig | |
| DataFirehose1. | Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| DataSync1. | DataSync Für Aufgaben sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| Detektiv.1 | Verhaltensdiagramme von Detektiven sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| DMS1. | Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | CRITICAL | |
Regelmäßig |
| DMS2.2 | DMSZertifikate sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| DMS3. | DMSVeranstaltungsabonnements sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| DMS4. | DMSReplikationsinstanzen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| DMS5. | DMSSubnetzgruppen für die Replikation sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| DMS6. | DMSFür Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| DMS7. | DMSBei Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| DMS8. | DMSBei Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| DMS9. | DMSEndpunkte sollten verwenden SSL | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| DMS1.0 | DMSAuf Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5, NIST v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| DMS1.1 | DMSAuf Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| DMS1.2 | DMSEndpunkte für Redis OSS hätten aktiviert sein müssen TLS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| DocumentDB DB.1 | Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| DocumentDB DB.2 | Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| DocumentDB DB.3 | Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Änderung ausgelöst |
| DocumentDB DB.4 | Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| DocumentDB DB.5 | Für Amazon DocumentDB-Cluster sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| DynamoDB.1 | DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Regelmäßig |
| DynamoDB.2 | DynamoDB DynamoDB-Tabellen sollte die Wiederherstellung aktiviert point-in-time sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| DynamoDB.3 | DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Regelmäßig |
| Dynamo DB.4 | DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein | NISTSP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| Dynamo DB.5 | DynamoDB-Tabellen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Dynamo DB,6 | DynamoDB DynamoDB-Tabellen sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Änderung ausgelöst |
| Dynamo DB.7 | DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| EC21. | EBSSchnappschüsse sollten nicht öffentlich wiederherstellbar sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. AWS Control Tower 5 PCI DSS NIST | CRITICAL | |
Regelmäßig |
| EC22.2 | VPCStandard-Sicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 CIS AWS NIST | HIGH | |
Änderung ausgelöst |
| EC23. | Angehängte EBS Volumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| EC24. | Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| EC2.6 | VPCDie Flow-Protokollierung sollte in allen aktiviert sein VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 CIS AWS NIST | MEDIUM | |
Regelmäßig |
| EC23.7 | EBSDie Standardverschlüsselung sollte aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 NIST | MEDIUM | |
Regelmäßig |
| EC22.8 | EC2Instanzen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Änderung ausgelöst |
| EC29. | EC2Instanzen sollten keine öffentliche IPv4 Adresse haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| EC21.0 | Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den EC2 Amazon-Service erstellt wurden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Regelmäßig |
| EC21.2 | Unbenutztes EC2 EIPs sollte entfernt werden | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| EC21.3 | Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | CIS AWS Benchmark für Grundlagen v1.2.0, PCI DSS v3.2.1, v4.0.1, SP 800-53 Rev. 5 PCI DSS NIST | HIGH | Änderung ausgelöst und periodisch | |
| EC21.4 | Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | CIS AWS PCIDSSBenchmark für Grundlagen v1.2.0, v4.0.1 | HIGH | Änderung ausgelöst und periodisch | |
| EC21.5 | EC2Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard:, PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| EC21.6 | Unbenutzte Network Access Control Lists sollten entfernt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard:, AWS Control Tower | LOW | |
Änderung ausgelöst |
| EC21.7 | EC2Instanzen sollten nicht mehrere verwenden ENIs | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| EC21.8 | Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Änderung ausgelöst |
| EC21.9 | Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | CRITICAL | Ausgelöste und periodische Änderung | |
| EC22.0 | Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| EC22.1 | ACLsDas Netzwerk sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5, v4.0.1 AWS Control Tower NIST PCI DSS | MEDIUM | |
Änderung ausgelöst |
| EC22.2 | Unbenutzte EC2 Sicherheitsgruppen sollten entfernt werden | Vom Service verwalteter Standard: AWS Control Tower | MEDIUM | Regelmäßig | |
| EC22.3 | EC2Transit Gateways sollten Anfragen für Dateianhänge nicht automatisch akzeptieren VPC | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| EC22.4 | EC2Paravirtuelle Instanztypen sollten nicht verwendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Änderung ausgelöst |
| EC22.5 | EC2Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | HIGH | |
Änderung ausgelöst |
| EC22.8 | EBSVolumes sollten in einem Backup-Plan enthalten sein | NISTSP 800-53 Rev. 5 | LOW | |
Regelmäßig |
| EC23.3 | EC2Transit-Gateway-Anhänge sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC23.4 | EC2Routentabellen für Transit-Gateways sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC23.5 | EC2Netzwerkschnittstellen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC23.6 | EC2Kunden-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC23.7 | EC2Elastische IP-Adressen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| EC23.8 | EC2Instanzen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| EC23.9 | EC2Internet-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.0 | EC2NATGateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.1 | EC2Netzwerk ACLs sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.2 | EC2Routentabellen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| EC24.3 | EC2Sicherheitsgruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.4 | EC2Subnetze sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.5 | EC2Bände sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.6 | Amazon VPCs sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.7 | Amazon VPC Endpoint Services sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.8 | VPCAmazon-Flow-Logs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC24.9 | VPCAmazon-Peering-Verbindungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC25.0 | EC2VPNGateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC25.1 | EC2Auf VPN Client-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Änderung ausgelöst |
| EC25.2 | EC2Transit-Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EC25.3 | EC2Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf die Verwaltungsports des Remoteservers zulassen | CIS AWS Benchmark für Grundlagen v3.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| EC25.4 | EC2Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remoteserver-Verwaltungsports zulassen | CIS AWS Benchmark für Grundlagen v3.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| EC25.5 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für ECR API | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC25.6 | VPCssollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC25.7 | VPCssollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC25.8 | VPCssollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.0 | VPCssollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.1 | VPCssollte mit einem Schnittstellenendpunkt für Systems Manager Quick Setup konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.2 | VPCssollte mit einem Schnittstellenendpunkt für CloudWatch Logs konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.3 | VPCssollte mit einem Schnittstellenendpunkt für Systems Manager Manager-Nachrichten konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.4 | VPCssollte mit einem Schnittstellenendpunkt für den Message Delivery Service konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.5 | VPCssollte mit einem Schnittstellenendpunkt für Secrets Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.6 | VPCssollte mit einem Schnittstellenendpunkt für API Gateway konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.7 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.8 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS KMS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC26.9 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für SQS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.0 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für STS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.1 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für SNS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.2 | VPCssollte mit einem Schnittstellenendpunkt für S3 konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.3 | VPCssollte mit einem Schnittstellenendpunkt für Lambda konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.4 | VPCssollte mit einem Schnittstellen-Endpunkt konfiguriert werden für ECS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.5 | VPCssollte mit einem Schnittstellenendpunkt für Elastic Load Balancing konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.6 | VPCssollte mit einem Schnittstellen-Endpunkt konfiguriert werden für CloudFormation | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.7 | VPCssollte mit einem Schnittstellen-Endpunkt konfiguriert werden für EventBridge | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.8 | VPCssollte mit einem Schnittstellenendpunkt für EC2 Auto Scaling konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC27.9 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker KI konfiguriert werden API | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.0 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI Feature Store Runtime konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.1 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI Metrics Service konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.2 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.3 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden FIPS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.4 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI-Notebooks konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.5 | VPCssollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28.6 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Glue | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28,7 | VPCssollte mit einem Schnittstellenendpunkt für Kinesis Data Streams konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28,8 | VPCssollte mit einem Schnittstellenendpunkt für Transfer Family for konfiguriert werden SFTP | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC28,9 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,0 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für RDS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,1 | VPCssollte mit einem Schnittstellenendpunkt für ECS den Agenten konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,2 | VPCssollte mit einem Schnittstellenendpunkt für ECS Telemetrie konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,3 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,4 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für SES | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,5 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,6 | VPCssollte mit einem Schnittstellenendpunkt für Athena konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,7 | VPCssollte mit einem Schnittstellenendpunkt für Firehose konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,8 | VPCssollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC29,9 | VPCssollte mit einem Schnittstellenendpunkt für Storage Gateway konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,00 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert werden MWAA | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.101 | VPCssollte mit einem Schnittstellenendpunkt für Amazon konfiguriert werden MWAA für FIPS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,02 | VPCssollte mit einem Schnittstellenendpunkt für die MWAA Amazon-Umgebung konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.103 | VPCssollte mit einem Schnittstellenendpunkt für die MWAA FIPS Amazon-Umgebung konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.104 | VPCssollte mit einem Schnittstellenendpunkt für den MWAA Amazon-Betreiber konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.105 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für DataSync | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.106 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.107 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.108 | VPCssollte mit einem Schnittstellenendpunkt für EBS Direct konfiguriert werden APIs | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,19 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,10 | VPCssollte mit einem Schnittstellen-Endpunkt für X-Ray konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.111 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,12 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,13 | VPCssollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.114 | VPCssollte mit einem Schnittstellenendpunkt für Service Catalog konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,15 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert werden EMR | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.116 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,17 | VPCssollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,18 | VPCssollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,19 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,20 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21.21 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21.22 | VPCssollte mit einem Schnittstellen-Endpunkt für CodeArtifact Repositorien konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,123 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Redshift konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,124 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,125 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Managed Service for Prometheus konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.126 | VPCssollte mit einem Schnittstellenendpunkt für Application Auto Scaling konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,27 | VPCssollte mit einem Schnittstellenendpunkt für S3 Multi-Region Access Points konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,28 | VPCssollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,29 | VPCssollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,30 | VPCssollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,11 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,32 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Backup | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21.33 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für DMS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.134 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,135 | VPCssollte mit einem Schnittstellenendpunkt für Amazon konfiguriert werden AppStream API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,36 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon AppStream Streaming konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,37 | VPCssollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,38 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS CodeConnections API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,39 | VPCssollte mit einem Schnittstellenendpunkt für AWS CodeStar Connections konfiguriert werden API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,40 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Redshift Data konfiguriert sein API | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.141 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Textract konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,42 | VPCssollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.143 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS MGN | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.144 | VPCssollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.145 | VPCssollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,46 | VPCssollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.147 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Bedrock konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,48 | VPCssollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,49 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert werden EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,50 | VPCssollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,151 | VPCssollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,52 | VPCssollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,53 | VPCssollte mit einem Schnittstellenendpunkt für Lake Formation konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.154 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert werden FSx | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.155 | VPCssollte mit einem Schnittstellen-Endpunkt für EMR Amazon konfiguriert werden EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.156 | VPCssollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.157 | VPCssollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,58 | VPCssollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,59 | VPCssollte mit einem Schnittstellen-Endpunkt für Elastic Disaster Recovery konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,60 | VPCssollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.161 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Rekognition konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,62 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Managed Service for Prometheus konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,63 | VPCssollte mit einem Schnittstellen-Endpunkt für Elastic Inference Runtime konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.164 | VPCssollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC2.165 | VPCssollte mit einem Schnittstellen-Endpunkt für Amazon Bedrock konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21.66 | VPCssollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,67 | VPCssollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,68 | VPCssollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,69 | VPCssollte mit einem Schnittstellenendpunkt für Amazon Transcribe Medical konfiguriert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| EC21,70 | EC2Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | LOW | Änderung ausgelöst | |
| EC21.71 | EC2VPNBei Verbindungen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| ECR1. | ECRBei privaten Repositorys sollte das Scannen von Bildern konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Regelmäßig |
| ECR2.2 | ECRBei privaten Repositorien sollte die Tag-Unveränderlichkeit konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ECR3. | ECRFür Repositorien sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ECR4. | ECRöffentliche Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| ECS1. | ECSAmazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| ECS2.2 | ECSDiensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | HIGH | |
Änderung ausgelöst |
| ECS3. | ECSAufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Änderung ausgelöst |
| ECS4. | ECSContainer sollten als nicht privilegiert ausgeführt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Änderung ausgelöst |
| ECS5. | ECSContainer sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Änderung ausgelöst |
| ECS8. | Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | HIGH | |
Änderung ausgelöst |
| ECS9. | ECSAufgabendefinitionen sollten eine Protokollierungskonfiguration haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| ECS1.0 | ECSFargate-Dienste sollten auf der neuesten Fargate-Plattformversion ausgeführt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed-Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ECS1.2 | ECSCluster sollten Container Insights verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| ECS1.3 | ECSDienste sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| ECS1.4 | ECSCluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| ECS1.5 | ECSAufgabendefinitionen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| ECS1.6 | ECSAufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Änderung ausgelöst | |
| EFS1. | Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS | CIS AWS Foundations Benchmark v3.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Regelmäßig |
| EFS2.2 | EFSAmazon-Volumes sollten in Backup-Plänen enthalten sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| EFS3. | EFSAccess Points sollten ein Root-Verzeichnis erzwingen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| EFS4. | EFSAccess Points sollten eine Benutzeridentität erzwingen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| EFS5. | EFSZugangspunkte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EFS6. | EFSMount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Regelmäßig | |
| EFS1.7 | EFSIn Dateisystemen sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| EFS8. | EFSDateisysteme sollten im Ruhezustand verschlüsselt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| EKS1. | EKSCluster-Endpunkte sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Regelmäßig |
| EKS2.2 | EKSCluster sollten auf einer unterstützten Kubernetes-Version laufen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Änderung ausgelöst |
| EKS3. | EKSCluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| EKS.6 | EKSCluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EKS7. | EKSKonfigurationen von Identitätsanbietern sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| EKS8. | EKSBei Clustern sollte die Auditprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| ElastiCache1. | ElastiCache Bei (Redis-OSS) Clustern sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Regelmäßig |
| ElastiCache2.2 | ElastiCache Bei (Redis-OSS) Clustern sollten auto Nebenversions-Upgrades aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Regelmäßig |
| ElastiCache3. | ElastiCache Für Replikationsgruppen sollte automatisches Failover aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| ElastiCache.4 | ElastiCache Replikationsgruppen sollten encrypted-at-rest | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| ElastiCache.5 | ElastiCache Replikationsgruppen sollten encrypted-in-transit | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| ElastiCache.6 | ElastiCache (RedisOSS) Für Replikationsgruppen früherer Versionen sollte Redis aktiviert sein OSS AUTH | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| ElastiCache.7 | ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Regelmäßig |
| ElasticBeanstalk1. | In Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Änderung ausgelöst |
| ElasticBeanstalk2.2 | Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed-Standard: PCI DSS AWS Control Tower | HIGH | |
Änderung ausgelöst |
| ElasticBeanstalk3. | Elastic Beanstalk sollte Logs streamen nach CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | |
Änderung ausgelöst |
| ELB1. | Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 NIST | MEDIUM | |
Regelmäßig |
| ELB2.2 | Classic Load Balancer mit SSL HTTPS /Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB3. | Classic Load Balancer Balancer-Listener sollten mit HTTPS oder Terminierung konfiguriert werden TLS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed-Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ELB4. | Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed-Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ELB5. | Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB6. | Für Anwendung, Gateway und Network Load Balancer sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Änderung ausgelöst | |
| ELB7. | Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB8. | Classic Load Balancer mit SSL Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Konfiguration verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ELB9. | Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB1.0 | Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB1.2 | Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ELB1.3 | Load Balancer für Anwendungen, Netzwerke und Gateways sollten sich über mehrere Availability Zones erstrecken | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ELB1.4 | Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ELB1.6 | Application Load Balancers sollten mit einem Web verknüpft sein AWS WAF ACL | NISTSP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| EMR1. | Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | HIGH | |
Regelmäßig |
| EMR2.2 | Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Regelmäßig |
| ES.1 | Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. AWS Control Tower 5 PCI DSS NIST | MEDIUM | |
Regelmäßig |
| ES.2 | Elasticsearch-Domains sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, SP 800-53 Rev. 5, Service-Managed-Standard: NIST AWS Control Tower | CRITICAL | |
Regelmäßig |
| ES.3 | Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard:, PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ES.4 | Die Protokollierung von Elasticsearch-Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ES.5 | Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| ES.6 | Elasticsearch-Domains sollten mindestens drei Datenknoten haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ES.7 | Elasticsearch-Domains sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| ES.8 | Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | Änderung ausgelöst | |
| ES.9 | Elasticsearch-Domains sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| EventBridge2.2 | EventBridge Eventbusse sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| EventBridge3. | EventBridge maßgeschneiderte Eventbusse sollten mit einer ressourcenbasierten Richtlinie versehen sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Änderung ausgelöst |
| EventBridge4. | EventBridge Auf globalen Endpunkten sollte die Ereignisreplikation aktiviert sein | NISTSP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| FSx1. | FSxfür offene ZFS Dateisysteme sollte so konfiguriert werden, dass Tags auf Backups und Volumes kopiert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Regelmäßig |
| FSx2.2 | FSxfür Lustre-Dateisysteme sollten so konfiguriert sein, dass sie Tags in Backups kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | Regelmäßig | |
| Kleber.1 | AWS Glue Jobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Kleber.2 | AWS Glue Für Jobs sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| Kleber.3 | AWS Glue Transformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| GlobalAccelerator1. | Global Accelerator-Beschleuniger sollten markiert sein | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| GuardDuty1. | GuardDuty sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Regelmäßig |
| GuardDuty2.2 | GuardDuty Filter sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| GuardDuty3. | GuardDuty IPSetssollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| GuardDuty4. | GuardDuty Detektoren sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| GuardDuty5. | GuardDuty EKSDie Überwachung des Auditprotokolls sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH | Regelmäßig | |
| GuardDuty.6 | GuardDuty Lambda-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| GuardDuty.7 | GuardDuty EKSRuntime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| GuardDuty.8 | GuardDuty Der Malware-Schutz für EC2 sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH | Regelmäßig | |
| GuardDuty.9 | GuardDuty RDSDer Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| GuardDuty.10 | GuardDuty S3-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| IAM1. | IAMRichtlinien sollten keine vollen „*“ -Administratorrechte zulassen | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 NIST | HIGH | |
Änderung ausgelöst |
| IAM2.2 | IAMBenutzern sollten keine IAM Richtlinien beigefügt sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | LOW | |
Änderung ausgelöst |
| IAM3. | IAMDie Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Regelmäßig |
| IAM4.4 | IAMDer Root-Benutzerzugriffsschlüssel sollte nicht existieren | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Regelmäßig |
| IAM5.5 | MFAsollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Regelmäßig |
| IAM5.6 | MFADie Hardware sollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS PCI DSS AWS Control Tower | CRITICAL | |
Regelmäßig |
| IAM1.7 | Passwortrichtlinien für IAM Benutzer sollten starke Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Regelmäßig |
| IAM.8 | Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Regelmäßig |
| IAM9. | MFAsollte für den Root-Benutzer aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1 PCI DSS PCI DSS | CRITICAL | |
Regelmäßig |
| IAM1.0 | Passwortrichtlinien für IAM Benutzer sollten starke Konfigurationen haben | PCIDSSv3.2.1, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| IAM.11 | Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Großbuchstaben erfordert | CIS AWS Benchmark für Grundlagen v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| IAM1.2 | Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert | CIS AWS Benchmark für Grundlagen v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| IAM1.3 | Stellen Sie sicher, dass für die IAM Passwortrichtlinie mindestens ein Symbol erforderlich ist | CIS AWS Benchmark für Grundlagen v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Regelmäßig |
| IAM1.4 | Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert | CIS AWS Benchmark für Grundlagen v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Regelmäßig |
| IAM1.5 | Stellen Sie sicher, dass die IAM Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr vorschreibt | CIS AWS Benchmark für Stiftungen v3.0.0, Benchmark für CIS AWS Stiftungen v1.4.0, CIS AWS Benchmark für Stiftungen v1.2.0 | MEDIUM | |
Regelmäßig |
| IAM1.6 | Stellen Sie sicher, dass die IAM Passwortrichtlinie die Wiederverwendung | CIS AWS Benchmark für Stiftungen v3.0.0, Benchmark für CIS AWS Stiftungen v1.4.0, Benchmark für CIS AWS Stiftungen v1.2.0, v4.0.1 PCI DSS | LOW | |
Regelmäßig |
| IAM1.7 | Stellen Sie sicher, dass die IAM Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft | CIS AWS Benchmark für Grundlagen v1.2.0, PCI DSS v4.0.1 | LOW | |
Regelmäßig |
| IAM1.8 | Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support | CIS AWS Benchmark für Stiftungen v3.0.0, Benchmark für CIS AWS Stiftungen v1.4.0, Benchmark für CIS AWS Stiftungen v1.2.0, v4.0.1 PCI DSS | LOW | |
Regelmäßig |
| IAM1.9 | MFAsollte für alle IAM Benutzer aktiviert sein | NISTSP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| IAM2.1 | IAMVon Ihnen erstellte, vom Kunden verwaltete Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Änderung ausgelöst |
| IAM2.2 | IAMBenutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden | CIS AWS Benchmark für Stiftungen v3.0.0, Benchmark für CIS AWS Stiftungen v1.4.0 | MEDIUM | |
Regelmäßig |
| IAM2.3 | IAMAccess Analyzer-Analyzer sollten markiert sein | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| IAM2.4 | IAMRollen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IAM2.5 | IAMBenutzer sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IAM2.6 | AbgelaufenSSL//Die in verwalteten TLS Zertifikate IAM sollten entfernt werden | CIS AWS Benchmark für Stiftungen v3.0.0 | MEDIUM | Regelmäßig | |
| IAM2.7 | IAMIdentitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess | CIS AWS Benchmark für Stiftungen v3.0.0 | MEDIUM | Änderung ausgelöst | |
| IAM2.8 | IAMDer externe Access Analyzer von Access Analyzer sollte aktiviert sein | CIS AWS Benchmark für Grundlagen v3.0.0 | HIGH | Regelmäßig | |
| Inspektor.1 | Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| Inspektor.2 | Das ECR Scannen mit Amazon Inspector sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| Inspektor.3 | Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| Inspektor.4 | Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| IoT. 1 | AWS IoT Device Defender Sicherheitsprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IoT.2 | AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IoT.3 | AWS IoT Core Abmessungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IoT.4 | AWS IoT Core Autorisierer sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IoT.5 | AWS IoT Core Rollenaliase sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| IoT. 6 | AWS IoT Core Richtlinien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Kinesis.1 | Kinesis-Streams sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Kinese.2 | Kinesis-Streams sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Kinese.3 | Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| KMS1. | IAMVom Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| KMS2. | IAMPrinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| KMS3. | AWS KMS keys sollte nicht ungewollt gelöscht werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | CRITICAL | |
Änderung ausgelöst |
| KMS4. | AWS KMS key Rotation sollte aktiviert sein | CIS AWS Fundaments Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1 PCI DSS PCI DSS | MEDIUM | |
Regelmäßig |
| KMS3.5 | KMSSchlüssel sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | CRITICAL | Änderung ausgelöst | |
| Lambda.1 | Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, PCI DSS Service-Managed Standard: PCI DSS AWS Control Tower | CRITICAL | |
Änderung ausgelöst |
| Lambda.2 | Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Lambda.3 | Lambda-Funktionen sollten sich in einem befinden VPC | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| Lambda.5 | VPCLambda-Funktionen sollten in mehreren Availability Zones funktionieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Lambda.6 | Lambda-Funktionen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Macie.1 | Amazon Macie sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| Macie.2 | Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Regelmäßig | |
| MSK1. | MSKCluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| MSK2. | MSKFür Cluster sollte die erweiterte Überwachung konfiguriert sein | NISTSP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| MSK3. | MSKConnect-Konnektoren sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| MQ. 2 | ActiveMQ-Broker sollten Auditprotokolle streamen an CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| MQ. 3 | Amazon MQ-Broker sollten das automatische Upgrade der Nebenversion aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | Änderung ausgelöst | |
| MQ. 4 | Amazon MQ-Broker sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| MQ.5 | ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden | NISTSP 800-53 Rev. 5, durch Service verwalteter Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| MQ.6 | RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden | NISTSP 800-53 Rev. 5, durch Service verwalteter Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| Neptun.1 | Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Neptun.2 | Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Neptun.3 | Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | CRITICAL | |
Änderung ausgelöst |
| Neptun.4 | Neptune Neptune-DB-Clustern sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| Neptun.5 | Neptune Neptune-DB-Clustern sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Neptun.6 | Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Neptun.7 | Neptune Neptune-DB-Clustern sollte die IAM Datenbankauthentifizierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Neptun.8 | Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| Neptun.9 | Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden | NISTSP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall1. | Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden | NISTSP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall2. | Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| NetworkFirewall3. | Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall4. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ lauten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall5. | Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ lauten. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall6. | Die Regelgruppe der Stateless Network Firewall sollte nicht leer sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| NetworkFirewall7. | Netzwerk-Firewall-Firewalls sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| NetworkFirewall8. | Netzwerk-Firewall-Firewall-Richtlinien sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| NetworkFirewall9. | Network Firewall Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.1 | OpenSearch Bei Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, SP 800-53 Rev. 5 NIST | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.2 | OpenSearch Domains sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, SP 800-53 Rev. 5 NIST | CRITICAL | |
Änderung ausgelöst |
| OpenSearch.3 | OpenSearch Domänen sollten Daten verschlüsseln, die zwischen Knoten gesendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.4 | OpenSearch Die Protokollierung von Domänenfehlern in CloudWatch Logs sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.5 | OpenSearch Für Domänen sollte die Auditprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.6 | OpenSearch Domänen sollten mindestens drei Datenknoten haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| OpenSearch.7 | OpenSearch Für Domänen sollte eine fein abgestufte Zugriffskontrolle aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Änderung ausgelöst |
| OpenSearch.8 | Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Änderung ausgelöst | |
| Suche öffnen.9 | OpenSearch Domains sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Opensearch.10 | OpenSearch Auf den Domains sollte das neueste Softwareupdate installiert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Änderung ausgelöst |
| Opensearch.11 | OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben | NISTSP 800-53 Rev. 5 | LOW | Regelmäßig | |
| PCA1. | AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Regelmäßig |
| RDS1. | RDSDer Snapshot sollte privat sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, SP 800-53 Rev. 5 NIST | CRITICAL | |
Änderung ausgelöst |
| RDS2. | RDSDB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5, v3.2.1 AWS Control Tower, v4.0.1 PCI DSS PCI DSS | CRITICAL | |
Änderung ausgelöst |
| RDS3. | RDSBei DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| RDS4. | RDSCluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| RDS5. | RDSDB-Instances sollten mit mehreren Availability Zones konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS6. | Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS7. | RDSBei Clustern sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS8. | RDSFür DB-Instances sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS9. | RDSDB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| RDS1.0 | IAMDie Authentifizierung sollte für RDS Instanzen konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS1.1 | RDSFür Instanzen sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS1.2 | IAMDie Authentifizierung sollte für RDS Cluster konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS1.3 | RDSautomatische Upgrades kleinerer Versionen sollten aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Änderung ausgelöst |
| RDS1.4 | Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS1.5 | RDSDB-Cluster sollten für mehrere Availability Zones konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| RDS1.6 | RDSDB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS1.7 | RDSDB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Änderung ausgelöst |
| RDS1.8 | RDSInstanzen sollten in einem bereitgestellt werden VPC | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed-Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| RDS1.9 | Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS2.0 | Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| RDS2.1 | Für kritische RDS Ereignisse in Datenbankparametergruppen sollte ein Abonnement für Ereignisbenachrichtigungen konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| RDS2.2 | Für kritische RDS Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für Ereignisbenachrichtigungen konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | LOW | |
Änderung ausgelöst |
| RDS2.3 | RDSInstanzen sollten keinen Standard-Port für eine Datenbank-Engine verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | LOW | |
Änderung ausgelöst |
| RDS2.4 | RDSDatenbank-Cluster sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| RDS2.5 | RDSDatenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| RDS2.6 | RDSDB-Instances sollten durch einen Backup-Plan geschützt werden | NISTSP 800-53 Rev. 5 | MEDIUM | |
Regelmäßig |
| RDS2,7 | RDSDB-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| RDS2.8 | RDSDB-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS2.9 | RDSDB-Cluster-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS3.0 | RDSDB-Instances sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS3.1 | RDSDB-Sicherheitsgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS3.2 | RDSDB-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS3.3 | RDSDB-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| RDS3.4 | Aurora My SQL DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| RDS3.5 | RDSBei DB-Clustern sollte das automatische Upgrade der Nebenversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| RDS3.6 | RDSfür SQL Postgre-DB-Instances sollten Protokolle in Logs veröffentlicht werden CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| RDS3.7 | Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| Redshift.1 | Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, PCI DSS Service-Managed Standard: PCI DSS AWS Control Tower | CRITICAL | |
Änderung ausgelöst |
| Redshift.2 | Verbindungen zu Amazon Redshift Redshift-Clustern sollten während der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Redshift.3 | Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Änderung ausgelöst |
| Redshift.4 | Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| Redshift.6 | Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Redshift.7 | Redshift-Cluster sollten erweitertes VPC Routing verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Redshift.8 | Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Redshift.9 | Redshift-Cluster sollten nicht den Standarddatenbanknamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Redshift.10 | Redshift-Cluster sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| Rotverschiebung.11 | Redshift-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Rotverschiebung.12 | Abonnementbenachrichtigungen für Redshift-Ereignisse sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Rotverschiebung.13 | Redshift-Cluster-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Rotverschiebung.14 | Redshift-Cluster-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | LOW | Änderung ausgelöst | |
| Rotverschiebung.15 | Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Ursprüngen zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Regelmäßig | |
| Route 53.1 | Route 53-Gesundheitschecks sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Route 53.2 | In öffentlich gehosteten Zonen von Route 53 sollten Abfragen protokolliert werden DNS | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| S3.1 | Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS PCI DSS AWS Control Tower | MEDIUM | Regelmäßig | |
| S3.2 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 NIST | CRITICAL | Ausgelöste und periodische Änderung | |
| S3.3 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Schreibzugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, v3.2.1 AWS Control Tower, SP 800-53 Rev. PCI DSS 5 NIST | CRITICAL | Ausgelöste und periodische Änderung | |
| S3.5 | Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung erforderlich sein SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS PCI DSS AWS Control Tower | MEDIUM | Änderung ausgelöst | |
| S3.6 | Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | Änderung ausgelöst | |
| S3.7 | S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | Änderung ausgelöst | |
| S3.8 | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Zugriff blockieren | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | Änderung ausgelöst | |
| S3.9 | Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | MEDIUM | Änderung ausgelöst | |
| S3.10 | S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | NISTSP 800-53 Rev. 5 | MEDIUM | Änderung ausgelöst | |
| S3.11 | Für S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein | NISTSP 800-53 Rev. 5 | MEDIUM | Änderung ausgelöst | |
| S3.12 | ACLssollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Änderung ausgelöst | |
| S3.13 | S3-Buckets für allgemeine Zwecke sollten Lifecycle-Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | Änderung ausgelöst | |
| S3.14 | Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | NISTSP 800-53 Rev. 5 | LOW | Änderung ausgelöst | |
| S3.15 | Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | NISTSP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Änderung ausgelöst | |
| S3.17 | S3-Buckets für allgemeine Zwecke sollten im Ruhezustand mit verschlüsselt werden AWS KMS keys | NISTSP 800-53 Rev. 5, PCI DSS v4.0.1, vom Service verwalteter Standard: AWS Control Tower | MEDIUM | Änderung ausgelöst | |
| S3.19 | Bei S3-Zugangspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | Änderung ausgelöst | |
| S3.20 | Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | LOW | Änderung ausgelöst | |
| S3.22 | S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren | CIS AWS Benchmark für Grundlagen v3.0.0, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| S3.23 | S3-Buckets für allgemeine Zwecke sollten Leseereignisse auf Objektebene protokollieren | CIS AWS Benchmark für Grundlagen v3.0.0, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| S3.24 | Für S3-Access Points mit mehreren Regionen sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | HIGH | Änderung ausgelöst | |
| SageMaker AI.1 | Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Regelmäßig |
| SageMaker AI.2 | SageMaker KI-Notebook-Instanzen sollten in einer benutzerdefinierten Version gestartet werden VPC | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| SageMaker AI.3 | Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instanzen haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH | |
Änderung ausgelöst |
| SageMaker AI.4 | SageMaker Bei Produktionsvarianten für KI-Endgeräte sollte die anfängliche Anzahl der Instanzen größer als 1 sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Regelmäßig | |
| SecretsManager1. | Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| SecretsManager2. | Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Änderung ausgelöst |
| SecretsManager3. | Unbenutzte Secrets Manager Manager-Geheimnisse entfernen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed-Standard: AWS Control Tower | MEDIUM | |
Regelmäßig |
| SecretsManager.4 | Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS Service-Managed Standard: AWS Control Tower | MEDIUM | |
Regelmäßig |
| SecretsManager1.5 | Secrets Manager Manager-Geheimnisse sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| ServiceCatalog1. | Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Regelmäßig | |
| SES1. | SESKontaktlisten sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| SES2. | SESKonfigurationssätze sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| SNS1. | SNSThemen sollten im Ruhezustand verschlüsselt werden mit AWS KMS | NISTSP 800-53 Rev. 5 | MEDIUM | Änderung ausgelöst | |
| SNS3. | SNSThemen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| SNS4. | SNSRichtlinien für den Zugang zu Themen sollten keinen öffentlichen Zugang zulassen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | HIGH | Änderung ausgelöst | |
| SQS1. | SQSAmazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Änderung ausgelöst |
| SQS2. | SQSWarteschlangen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| SSM1. | EC2Instanzen sollten verwaltet werden von AWS Systems Manager | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, SP 800-53 Rev. 5 NIST | MEDIUM | |
Änderung ausgelöst |
| SSM2. | EC2Von Systems Manager verwaltete Instanzen sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | HIGH | |
Änderung ausgelöst |
| SSM3. | EC2Von Systems Manager verwaltete Instanzen sollten den Zuordnungs-Compliance-Status von haben COMPLIANT | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, Service-Managed Standard: PCI DSS AWS Control Tower | LOW | |
Änderung ausgelöst |
| SSM4. | SSMDokumente sollten nicht öffentlich sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITICAL | |
Regelmäßig |
| StepFunctions1. | Step Functions, bei Zustandsmaschinen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Änderung ausgelöst |
| StepFunctions2. | Step Functions Functions-Aktivitäten sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Übertragung.1 | Die Workflows von Transfer Family sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | LOW | Änderung ausgelöst | |
| Übertragung.2 | Transfer Family Family-Server sollten kein FTP Protokoll für die Endpunktverbindung verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Regelmäßig | |
| WAF1. | AWS WAF Die klassische globale Webprotokollierung sollte aktiviert sein ACL | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Regelmäßig |
| WAF2.2 | AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF3. | AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF4. | AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF6. | AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF7. | AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF8. | AWS WAF Das klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF1.0 | AWS WAF Web ACLs sollte mindestens eine Regel oder Regelgruppe haben | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, Service-Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WAF1.1 | AWS WAF Die ACL Webprotokollierung sollte aktiviert sein | NISTSP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Regelmäßig |
| WAF1.2 | AWS WAF Für Regeln sollten CloudWatch Metriken aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Änderung ausgelöst |
| WorkSpaces1. | WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst | |
| WorkSpaces2. | WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MEDIUM | Änderung ausgelöst |
Themen
- Security Hub-Steuerungen für AWS-Konten
- Security Hub-Steuerelemente für API Gateway
- Security Hub-Steuerungen für AWS AppSync
- Security Hub-Steuerelemente für Athena
- Security Hub-Steuerungen für AWS Backup
- Security Hub-Steuerungen für ACM
- Security Hub-Steuerungen für AWS CloudFormation
- Security Hub-Steuerungen für CloudFront
- Security Hub-Steuerungen für CloudTrail
- Security Hub-Steuerungen für CloudWatch
- Security Hub-Steuerungen für CodeArtifact
- Security Hub-Steuerungen für CodeBuild
- Security Hub-Steuerungen für AWS Config
- Security Hub-Steuerelemente für Amazon Data Firehose
- Security Hub-Steuerungen für DataSync
- Security Hub-Steuerelemente für Detective
- Security Hub-Steuerungen für AWS DMS
- Security Hub-Steuerelemente für Amazon DocumentDB
- Security Hub-Steuerelemente für DynamoDB
- Security Hub-Steuerelemente für Amazon EC2
- Security Hub-Steuerelemente für Auto Scaling
- Security Hub-Steuerelemente für Amazon ECR
- Security Hub-Steuerelemente für Amazon ECS
- Security Hub-Steuerelemente für Amazon EFS
- Security Hub-Steuerelemente für Amazon EKS
- Security Hub-Steuerungen für ElastiCache
- Security Hub-Steuerelemente für Elastic Beanstalk
- Security Hub-Steuerelemente für Elastic Load Balancing
- Security Hub für Elasticsearch
- Security Hub-Steuerelemente für Amazon EMR
- Security Hub-Steuerungen für EventBridge
- Security Hub-Steuerelemente für Amazon FSx
- Security Hub-Steuerungen für Global Accelerator
- Security Hub-Steuerungen für AWS Glue
- Security Hub-Steuerungen für GuardDuty
- Security Hub-Steuerungen für IAM
- Security Hub-Steuerelemente für Amazon Inspector
- Security Hub-Steuerungen für AWS IoT
- Security Hub-Steuerelemente für Kinesis
- Security Hub-Steuerungen für AWS KMS
- Security Hub-Steuerelemente für Lambda
- Security Hub-Steuerelemente für Macie
- Security Hub-Steuerelemente für Amazon MSK
- Security Hub-Steuerelemente für Amazon MQ
- Security Hub-Steuerungen für Neptune
- Security Hub-Steuerelemente für die Network Firewall
- Security Hub-Steuerelemente für den OpenSearch Service
- Security Hub-Steuerungen für AWS Private CA
- Security Hub-Steuerelemente für Amazon RDS
- Security Hub-Steuerelemente für Amazon Redshift
- Security Hub-Steuerelemente für Route 53
- Security Hub-Steuerelemente für Amazon S3
- Security Hub-Steuerungen für SageMaker KI
- Security Hub-Steuerelemente für Secrets Manager
- Security Hub-Steuerelemente für Service Catalog
- Security Hub-Steuerelemente für Amazon SES
- Security Hub-Steuerelemente für Amazon SNS
- Security Hub-Steuerelemente für Amazon SQS
- Security Hub-Steuerelemente für Step Functions
- Security Hub-Steuerelemente für Systems Manager
- Security Hub-Steuerelemente für Transfer Family
- Security Hub-Steuerungen für AWS WAF
- Security Hub-Steuerungen für WorkSpaces
