CIS AWS Tolok ukur v1.2.0 - AWSAudit Manager
Apa yang dimaksud dengan CIS?Menggunakan Framework iniLangkah selanjutnyaSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CIS AWS Tolok ukur v1.2.0

AWS Audit Manager menyediakan dua kerangka kerja bawaan yang mendukung Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0.

catatan

Apa yang dimaksud dengan CIS?

CISIni adalah organisasi nirlaba yang mengembangkan CIS AWS Foundations Benchmark. Tolok ukur ini berfungsi sebagai seperangkat praktik terbaik konfigurasi keamanan untuk AWS. Praktik terbaik yang diterima industri ini melampaui panduan keamanan tingkat tinggi yang sudah tersedia karena praktik tersebut memberi Anda prosedur step-by-step implementasi, dan penilaian yang jelas.

Untuk informasi lebih lanjut, lihat posting blog CIS AWS Foundations Benchmark di Blog AWS Keamanan.

Perbedaan antara CIS Benchmark dan Controls CIS

CISTolok ukur adalah pedoman praktik terbaik keamanan yang khusus untuk produk vendor. Mulai dari sistem operasi hingga layanan cloud dan perangkat jaringan, pengaturan yang diterapkan dari tolok ukur melindungi sistem spesifik yang digunakan organisasi Anda. CISKontrol adalah pedoman praktik terbaik dasar untuk diikuti sistem tingkat organisasi untuk membantu melindungi dari vektor serangan siber yang diketahui.

Contoh

  • CISTolok ukur bersifat preskriptif. Mereka biasanya merujuk pada pengaturan tertentu yang dapat ditinjau dan ditetapkan dalam produk vendor.

    Contoh: CIS AWS Benchmark v1.2.0 - Pastikan MFA diaktifkan untuk akun “root user”.

    Rekomendasi ini memberikan panduan preskriptif tentang cara memeriksa ini dan cara mengaturnya di akun root untuk lingkungan. AWS

  • CISKontrol adalah untuk organisasi Anda secara keseluruhan. Mereka tidak spesifik hanya untuk satu produk vendor.

    Contoh: CIS v7.1 - Gunakan Otentikasi Multi-Faktor untuk Semua Akses Administratif

    Kontrol ini menjelaskan apa yang diharapkan untuk diterapkan dalam organisasi Anda. Ini tidak menjelaskan bagaimana Anda harus menerapkannya untuk sistem dan beban kerja yang Anda jalankan (di mana pun mereka berada).

Menggunakan Framework ini

Anda dapat menggunakan kerangka kerja CIS AWS Benchmark v1.2 AWS Audit Manager untuk membantu Anda mempersiapkan audit. CIS Anda juga dapat menyesuaikan kerangka kerja ini dan kontrolnya untuk mendukung audit internal dengan persyaratan khusus.

Dengan menggunakan kerangka kerja sebagai titik awal, Anda dapat membuat penilaian Audit Manager dan mulai mengumpulkan bukti yang relevan untuk audit Anda. Setelah Anda membuat penilaian, Audit Manager mulai menilai AWS sumber daya Anda. Ini dilakukan berdasarkan kontrol yang didefinisikan dalam CIS kerangka kerja. Saat tiba waktunya untuk audit, Anda—atau delegasi pilihan Anda—dapat meninjau bukti yang dikumpulkan oleh Audit Manager. Anda juga dapat menelusuri folder bukti dalam penilaian Anda dan memilih bukti mana yang ingin Anda sertakan dalam laporan penilaian Anda. Atau, jika Anda mengaktifkan pencari bukti, Anda dapat mencari bukti spesifik dan mengekspornya dalam CSV format, atau membuat laporan penilaian dari hasil penelusuran Anda. Either way, Anda dapat menggunakan laporan penilaian ini untuk menunjukkan bahwa kontrol Anda berfungsi sebagaimana dimaksud.

Rincian kerangka kerja adalah sebagai berikut:

Nama kerangka kerja di AWS Audit Manager Jumlah kontrol otomatis Jumlah kontrol manual Jumlah set kontrol
Pusat Keamanan Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 33 3 4
Pusat Keamanan Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 dan 2 45 4 4
penting

Untuk memastikan bahwa kerangka kerja ini mengumpulkan bukti yang diinginkan AWS Security Hub, pastikan Anda mengaktifkan semua standar di Security Hub.

Untuk memastikan bahwa kerangka kerja ini mengumpulkan bukti yang diinginkan AWS Config, pastikan Anda mengaktifkan AWS Config aturan yang diperlukan. Untuk meninjau daftar AWS Config aturan yang digunakan sebagai pemetaan sumber data untuk kerangka kerja standar ini, unduh file berikut:

  1. AuditManager_ ConfigDataSourceMappings _ CIS - AWS -Benchmark-v1.2.0, -Level-1.zip

  2. AuditManager_ ConfigDataSourceMappings _ CIS - AWS -Benchmark-v1.2.0, -Level-1-and-2.zip

Kontrol dalam kerangka kerja ini tidak dimaksudkan untuk memverifikasi apakah sistem Anda sesuai dengan praktik terbaik CIS AWS Benchmark. Selain itu, mereka tidak dapat menjamin bahwa Anda akan lulus CIS audit. AWS Audit Manager tidak secara otomatis memeriksa kontrol prosedural yang memerlukan pengumpulan bukti manual.

Anda dapat menemukan kerangka kerja ini di bawah tab Kerangka standar pada pustaka kerangka kerja di Audit Manager.

Prasyarat untuk menggunakan kerangka kerja ini

Banyak kontrol dalam kerangka kerja CIS AWS Benchmark v1.2 digunakan AWS Config sebagai tipe sumber data. Untuk mendukung kontrol ini, Anda harus mengaktifkan AWS Config semua akun di masing-masing Wilayah AWS tempat Anda mengaktifkan Audit Manager. Anda juga harus memastikan bahwa AWS Config aturan tertentu diaktifkan, dan bahwa aturan ini dikonfigurasi dengan benar.

AWS Config Aturan dan parameter berikut diperlukan untuk mengumpulkan bukti yang benar dan menangkap status kepatuhan yang akurat untuk Tolok Ukur CIS AWS Yayasan v1.2. Untuk petunjuk tentang cara mengaktifkan atau mengonfigurasi aturan, lihat Bekerja dengan Aturan AWS Config Terkelola.

AWS Config Aturan yang diperlukan Parameter yang diperlukan
ACCESS_KEYS_ROTATED
maxAccessKeyAge

  • Jumlah maksimum hari tanpa rotasi.

  • Jenis: Int

  • Default: 90 hari

  • Persyaratan kepatuhan: Maksimal 90 hari
CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Tidak berlaku
CLOUD_TRAIL_ENCRYPTION_ENABLED Tidak berlaku
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Tidak berlaku
CMK_BACKING_KEY_ROTATION_ENABLED Tidak berlaku
IAM_PASSWORD_POLICY
MaxPasswordAge (Opsional)

  • Jumlah hari sebelum kedaluwarsa kata sandi.

  • Jenis: int

  • Default: 90

  • Persyaratan kepatuhan: Maksimal 90 hari
IAM_PASSWORD_POLICY
MinimumPasswordLength (Opsional)

  • Panjang minimum kata sandi.

  • Jenis: int

  • Default: 14

  • Persyaratan kepatuhan: Minimal 14 karakter
IAM_PASSWORD_POLICY
PasswordReusePrevention (Opsional)

  • Jumlah kata sandi sebelum mengizinkan penggunaan kembali.

  • Jenis: int

  • Default: 24

  • Persyaratan kepatuhan: Minimal 24 kata sandi sebelum digunakan kembali
IAM_PASSWORD_POLICY
RequireLowercaseCharacters (Opsional)

  • Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi.

  • Jenis: Boolean

  • Bawaan: BETUL

  • Persyaratan kepatuhan: Setidaknya satu karakter huruf kecil
IAM_PASSWORD_POLICY
RequireNumbers (Opsional)

  • Memerlukan setidaknya satu nomor dalam kata sandi.

  • Jenis: Boolean

  • Bawaan: BETUL

  • Persyaratan kepatuhan: Setidaknya satu karakter angka
IAM_PASSWORD_POLICY
RequireSymbols (Opsional)

  • Memerlukan setidaknya satu simbol dalam kata sandi.

  • Jenis: Boolean

  • Bawaan: BETUL

  • Persyaratan kepatuhan: Setidaknya satu karakter simbol
IAM_PASSWORD_POLICY
RequireUppercaseCharacters (Opsional)

  • Memerlukan setidaknya satu karakter huruf besar dalam kata sandi.

  • Jenis: Boolean

  • Bawaan: BETUL

  • Persyaratan kepatuhan: Setidaknya satu karakter huruf besar

IAM_ POLICY _IN_ USE
policyARN

  • IAMKebijakan yang ARN harus diperiksa.

  • Tipe: String

  • Persyaratan kepatuhan: Menciptakan IAM peran untuk mengelola insiden dengan AWS.

policyUsageType (Opsional)

  • Menentukan apakah Anda mengharapkan kebijakan dilampirkan ke pengguna, grup, atau peran.

  • Tipe: String

  • Nilai valid: IAM_USER | IAM_GROUP | IAM_ROLE | ANY

  • Nilai default: ANY

  • Persyaratan kepatuhan: Lampirkan kebijakan kepercayaan ke IAM peran yang dibuat
IAM_ POLICY _TIDAK_ _ STATEMENTS _ WITH ADMIN ACCESS Tidak berlaku
IAM_ROOT_ACCESS_KEY_CHECK Tidak berlaku
IAM_ USER POLICIES _TIDAK_ _ CHECK Tidak berlaku
IAM_USER_UNUSED_CREDENTIALS_CHECK
maxCredentialUsageAge

  • Jumlah hari maksimum yang kredensi tidak dapat digunakan.

  • Jenis: Int

  • Default: 90 hari

  • Persyaratan kepatuhan: 90 hari atau lebih
INCOMING_SSH_DISABLED Tidak berlaku
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS Tidak berlaku
MULTI_REGION_CLOUD_TRAIL_ENABLED Tidak berlaku
RESTRICTED_INCOMING_TRAFFIC
blockedPort1 (Opsional)

  • Nomor TCP port yang diblokir.

  • Jenis: int

  • Default: 20

  • Persyaratan kepatuhan: Pastikan tidak ada grup keamanan yang mengizinkan masuknya port yang diblokir

blockedPort2 (Opsional)

  • Nomor TCP port yang diblokir.

  • Jenis: int

  • Default: 21

  • Persyaratan kepatuhan: Pastikan tidak ada grup keamanan yang mengizinkan masuknya port yang diblokir

blockedPort3 (Opsional)

  • Nomor TCP port yang diblokir.

  • Jenis: int

  • Standar: 3389

  • Persyaratan kepatuhan: Pastikan tidak ada grup keamanan yang mengizinkan masuknya port yang diblokir

blockedPort4 (Opsional)

  • Nomor TCP port yang diblokir.

  • Jenis: int

  • Standar: 3306

  • Persyaratan kepatuhan: Pastikan tidak ada grup keamanan yang mengizinkan masuknya port yang diblokir

blockedPort5 (Opsional)

  • Nomor TCP port yang diblokir.

  • Jenis: int

  • Standar: 4333

  • Persyaratan kepatuhan: Pastikan tidak ada grup keamanan yang mengizinkan masuknya port yang diblokir
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED Tidak berlaku
ROOT_ACCOUNT_MFA_ENABLED Tidak berlaku
S3_ _ _ BUCKET LOGGING ENABLED
targetBucket (Opsional)

  • Bucket S3 target untuk menyimpan log akses server.

  • Tipe: String

  • Persyaratan kepatuhan: Aktifkan pencatatan

targetPrefix (Opsional)

  • Awalan bucket S3 untuk menyimpan log akses server.

  • Tipe: String

  • Persyaratan kepatuhan: Identifikasi bucket S3 untuk logging CloudTrail
S3_ _ BUCKET _ PUBLIC READ PROHIBITED Tidak berlaku
VPC_DEFAULT_SECURITY_GROUP_CLOSED Tidak berlaku
VPC_FLOW_LOGS_ENABLED
trafficType (Opsional)

  • trafficTypeDari log aliran.

  • Tipe: String

  • Persyaratan kepatuhan: Pencatatan aliran diaktifkan

Langkah selanjutnya

Untuk petunjuk tentang cara membuat penilaian menggunakan kerangka kerja ini, lihatMembuat penilaian di AWS Audit Manager.

Untuk petunjuk tentang cara menyesuaikan kerangka kerja ini untuk mendukung persyaratan spesifik Anda, lihatMembuat salinan yang dapat diedit dari kerangka kerja yang ada di AWS Audit Manager.

Sumber daya tambahan