Praktik Terbaik Operasional untuk Kontrol Keamanan Kritis CIS v8 IG3 - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Operasional untuk Kontrol Keamanan Kritis CIS v8 IG3

Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.

Berikut ini menyediakan contoh pemetaan antara Center for Internet Security (CIS) Critical Security Controls v8 IG3 dan aturan Config terkelola AWS . Masing-masing AWS Config berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau lebih Kontrol Keamanan Kritis CIS v8 kontrol IG3. Kontrol Keamanan Kritis CIS v8 IG3 dapat dikaitkan dengan beberapa aturan. AWS Config Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.

ID Kontrol Deskripsi Kontrol AWS Aturan Config Bimbingan
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

terlampir eip

Aturan ini memastikan IP Elastis yang dialokasikan ke Amazon Virtual Private Cloud (Amazon VPC) dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) atau Antarmuka Jaringan Elastis yang sedang digunakan. Aturan ini membantu memantau EIP yang tidak digunakan di lingkungan Anda.
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

ec2-stopped-instance

Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah instans Amazon EC2 telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

vpc-network-acl-unused-check

Aturan ini memastikan bahwa daftar kontrol akses jaringan Amazon Virtual Private Cloud (VPC) sedang digunakan. Pemantauan untuk daftar kontrol akses jaringan yang tidak digunakan dapat membantu inventaris dan pengelolaan lingkungan Anda yang akurat.
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

ec2-instance-dikelola oleh sistem-manajer

Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

ec2-managedinstance-association-compliance-status-check

Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
1.1 Membangun dan Memelihara Inventaris Aset Perusahaan Terperinci

ec2-security-group-dilampirkan ke eni

Aturan ini memastikan grup keamanan dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) atau ke ENI. Aturan ini membantu memantau kelompok keamanan yang tidak digunakan dalam inventaris dan pengelolaan lingkungan Anda.
2.2 Pastikan Perangkat Lunak Resmi Saat Ini Didukung

elastis-beanstalk-managed-updates-enabled

Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem.
2.2 Pastikan Perangkat Lunak Resmi Saat Ini Didukung

ec2-managedinstance-patch-compliance-status-check

Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
2.2 Pastikan Perangkat Lunak Resmi Saat Ini Didukung

ecs-fargate-versi platform-terbaru-

Pembaruan dan tambalan keamanan diterapkan secara otomatis untuk tugas Fargate AWS Anda. Jika ditemukan masalah keamanan yang memengaruhi versi platform AWS Fargate, AWS tambal versi platform. Untuk membantu pengelolaan tambalan tugas Amazon Elastic Container Service (ECS) yang menjalankan AWS Fargate, perbarui tugas mandiri layanan Anda untuk menggunakan versi platform terbaru.
2.4 Memanfaatkan Alat Inventaris Perangkat Lunak Otomatis

ec2-instance-dikelola oleh sistem-manajer

Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
2.4 Memanfaatkan Alat Inventaris Perangkat Lunak Otomatis

ec2-managedinstance-association-compliance-status-check

Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ec2-imdsv2-periksa

Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ec2-instance-profile-terlampir

Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
3.3 Konfigurasikan Daftar Kontrol Akses Data

dms-replikasi-tidak-publik

Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ebs-snapshot-public-restorable check

Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

emr-kerberos-diaktifkan

Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-group-memiliki-pengguna-periksa

AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-no-inline-policy-check

Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ec2-instance-tidak-publik-ip

Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-kebijakan-tidak-pernyataan-dengan-akses penuh

Pastikan Tindakan IAM dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
3.3 Konfigurasikan Daftar Kontrol Akses Data

elasticsearch-in-vpc-only

Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-user-group-membership-check

AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
3.3 Konfigurasikan Daftar Kontrol Akses Data

contoh ec2-dalam-vpc

Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
3.3 Konfigurasikan Daftar Kontrol Akses Data

emr-master-tidak-ip publik

Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-kebijakan-tidak-pernyataan-dengan-admin-akses

AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-user-no-policies-check

Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-root-akses-kunci-cek

Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda
3.3 Konfigurasikan Daftar Kontrol Akses Data

iam-inline-policy-blocked-kms-actions

Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

lambda-fungsi-publik-akses-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
3.3 Konfigurasikan Daftar Kontrol Akses Data

lambda-dalam-vpc

Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
3.3 Konfigurasikan Daftar Kontrol Akses Data

rds-snapshots-publik-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

rds-instance-public-access-check

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

redshift-cluster-public-access-check

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
3.3 Konfigurasikan Daftar Kontrol Akses Data

s3-ember-tingkat-akses-publik-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
3.3 Konfigurasikan Daftar Kontrol Akses Data

s3-akun-tingkat-akses-publik-blok-periodik

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

s3-ember-publik-baca-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
3.3 Konfigurasikan Daftar Kontrol Akses Data

s3-ember-publik-tulis-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
3.3 Konfigurasikan Daftar Kontrol Akses Data

sagemaker-notebook-tidak-akses internet-langsung

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
3.3 Konfigurasikan Daftar Kontrol Akses Data

subnet-auto-assign-public-ip-disabled

Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ssm-dokumen-tidak-publik

Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ecs-task-definition-pengguna-untuk-host-mode-check

Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan.
3.3 Konfigurasikan Daftar Kontrol Akses Data

ecs-task-definition-nonroot-user

Untuk membantu menerapkan prinsip hak istimewa paling sedikit, pastikan bahwa pengguna non-root ditunjuk untuk mengakses definisi tugas Amazon Elastic Container Service (Amazon ECS) Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

autoscaling-launch-config-public-ip-disabled

Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
3.3 Konfigurasikan Daftar Kontrol Akses Data

opensearch-in-vpc-only

Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
3.3 Konfigurasikan Daftar Kontrol Akses Data

efs-access-point-enforce-root-directory

Menegakkan direktori root untuk jalur akses Amazon Elastic File System (Amazon EFS) membantu membatasi akses data dengan memastikan bahwa pengguna jalur akses hanya dapat menjangkau file dari subdirektori yang ditentukan.
3.4 Menegakkan Retensi Data

s3-versi-lifecycle-policy-check

Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu).
3.4 Menegakkan Retensi Data

cw-loggroup-retensi-periode-check

Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya.
3.10 Enkripsi Data Sensitif dalam Transit

api-gw-ssl-diaktifkan

Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
3.10 Enkripsi Data Sensitif dalam Transit

pemeriksaan pengalihan alb-http-ke-https-

Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.10 Enkripsi Data Sensitif dalam Transit

elb-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
3.10 Enkripsi Data Sensitif dalam Transit

elb-tls-https-pendengar saja

Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.10 Enkripsi Data Sensitif dalam Transit

s3-ember-ssl-permintaan-saja

Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.10 Enkripsi Data Sensitif dalam Transit

redshift-require-tls-ssl

Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.10 Enkripsi Data Sensitif dalam Transit

elbv2-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
3.10 Enkripsi Data Sensitif dalam Transit

opensearch-https-diperlukan

Karena data sensitif dapat ada dan membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda.
3.10 Enkripsi Data Sensitif dalam Transit

elasticsearch-node-to-node-enkripsi-check

Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.10 Enkripsi Data Sensitif dalam Transit

opensearch-node-to-node-enkripsi-cek

Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

cloud-trail-enkripsi diaktifkan

Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda.
3.11 Enkripsi Data Sensitif saat Istirahat

volume terenkripsi

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
3.11 Enkripsi Data Sensitif saat Istirahat

ec2-ebs-enkripsi-secara default

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

efs-terenkripsi cek

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda.
3.11 Enkripsi Data Sensitif saat Istirahat

backup-recovery-point-dienkripsi

Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

elasticsearch-encrypted-at-rest

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda.
3.11 Enkripsi Data Sensitif saat Istirahat

redshift-cluster-kms-diaktifkan

Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

rds-penyimpanan-terenkripsi

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

rds-snapshot-dienkripsi

Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

s3-default-enkripsi-kms

Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

redshift-cluster-configuration-check

Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
3.11 Enkripsi Data Sensitif saat Istirahat

sagemaker-endpoint-konfigurasi-kms-kunci-dikonfigurasi

Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

sagemaker-notebook-instance-kms-kunci-dikonfigurasi

Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

secretsmanager-menggunakan-cmk

Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

s3-bucket-server-side-enkripsi diaktifkan

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

sns-terenkripsi-kms

Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.11 Enkripsi Data Sensitif saat Istirahat

dynamodb-table-terenkripsi-kms

Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan (CMK) AWS yang dimiliki.
3.11 Enkripsi Data Sensitif saat Istirahat

opensearch-terenkripsi-di-istirahat

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda.
3.14 Akses Data Sensitif Log

api-gw-eksekusi-loging-diaktifkan

Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
3.14 Akses Data Sensitif Log

multi-wilayah-cloudtrail-diaktifkan

AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
3.14 Akses Data Sensitif Log

cloudtrail-s3-dataevents-diaktifkan

Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
3.14 Akses Data Sensitif Log

cloudtrail-diaktifkan

AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
3.14 Akses Data Sensitif Log

cloud-trail-cloud-watch-logs-diaktifkan

Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
3.14 Akses Data Sensitif Log

elasticsearch-logs-to-cloudwatch

Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
3.14 Akses Data Sensitif Log

vpc-flow-logs-diaktifkan

Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
3.14 Akses Data Sensitif Log

elb-loging-diaktifkan

Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
3.14 Akses Data Sensitif Log

rds-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
3.14 Akses Data Sensitif Log

s3-bucket-loging-diaktifkan

Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
3.14 Akses Data Sensitif Log

redshift-cluster-configuration-check

Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
3.14 Akses Data Sensitif Log

wafv2-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
3.14 Akses Data Sensitif Log

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
3.14 Akses Data Sensitif Log

codebuild-project-logging-diaktifkan

Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

akun-bagian-organisasi

Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

ec2-stopped-instance

Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah instans Amazon EC2 telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

ec2-volume-inuse-check

Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

redshift-cluster-maintenancesettings-check

Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

ec2-instance-dikelola oleh sistem-manajer

Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

ec2-managedinstance-association-compliance-status-check

Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

efs-access-point-enforce-root-directory

Menegakkan direktori root untuk jalur akses Amazon Elastic File System (Amazon EFS) membantu membatasi akses data dengan memastikan bahwa pengguna jalur akses hanya dapat menjangkau file dari subdirektori yang ditentukan.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

secretsmanager-rotation-enabled-check

Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan.
4.1 Membangun dan Mempertahankan Proses Konfigurasi yang Aman

akses-kunci-diputar

Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

pemeriksaan pengalihan alb-http-ke-https-

Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

elb-tls-https-pendengar saja

Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

api-gw-ssl-diaktifkan

Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

redshift-require-tls-ssl

Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

s3-ember-ssl-permintaan-saja

Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
4.6 Mengelola Aset dan Perangkat Lunak Perusahaan dengan Aman

opensearch-https-diperlukan

Karena data sensitif dapat ada dan membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda.
4.7 Mengelola Akun Default pada Aset dan Perangkat Lunak Perusahaan

iam-root-akses-kunci-cek

Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
5.1 Menetapkan dan Memelihara Inventarisasi Akun

akun-bagian-organisasi

Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
5.2 Gunakan Kata Sandi Unik

iam-password-policy

Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
5.2 Gunakan Kata Sandi Unik

iam-user-mfa diaktifkan

Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
5.2 Gunakan Kata Sandi Unik

mfa-diaktifkan-untuk-iam-konsol-akses

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
5.2 Gunakan Kata Sandi Unik

akun-akun-mfa diaktifkan

Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
5.3 Nonaktifkan Akun Dormant

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
5.4 Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

iam-root-akses-kunci-cek

Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
5.4 Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

iam-kebijakan-tidak-pernyataan-dengan-admin-akses

AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
5.6 Memusatkan Manajemen Akun

akun-bagian-organisasi

Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
6.4 Memerlukan MFA untuk Akses Jaringan Jarak Jauh

iam-user-mfa diaktifkan

Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
6.4 Memerlukan MFA untuk Akses Jaringan Jarak Jauh

mfa-diaktifkan-untuk-iam-konsol-akses

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
6.4 Memerlukan MFA untuk Akses Jaringan Jarak Jauh

akun-akun-mfa diaktifkan

Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
6.5 Memerlukan MFA untuk Akses Administratif

akun-akun-perangkat keras-mfa-diaktifkan

Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
6.7 Memusatkan Kontrol Akses

akun-bagian-organisasi

Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
7.1 Membangun dan Mempertahankan Proses Manajemen Kerentanan

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
7.1 Membangun dan Mempertahankan Proses Manajemen Kerentanan

Securityhub diaktifkan

AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
7.1 Membangun dan Mempertahankan Proses Manajemen Kerentanan

ec2-managedinstance-patch-compliance-status-check

Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
7.3 Lakukan Manajemen Patch Sistem Operasi Otomatis

ec2-managedinstance-patch-compliance-status-check

Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
7.3 Lakukan Manajemen Patch Sistem Operasi Otomatis

elastis-beanstalk-managed-updates-enabled

Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem.
7.3 Lakukan Manajemen Patch Sistem Operasi Otomatis

redshift-cluster-maintenancesettings-check

Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
7.4 Lakukan Manajemen Patch Aplikasi Otomatis

ec2-managedinstance-patch-compliance-status-check

Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
7.4 Lakukan Manajemen Patch Aplikasi Otomatis

elastis-beanstalk-managed-updates-enabled

Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem.
7.4 Lakukan Manajemen Patch Aplikasi Otomatis

redshift-cluster-maintenancesettings-check

Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
7,5 Lakukan Pemindaian Kerentanan Otomatis Aset Perusahaan Internal

ecr-private-image-scanning-enabled

Pemindaian gambar Amazon Elastic Container Repository (ECR) membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Mengaktifkan pemindaian gambar pada repositori ECR menambahkan lapisan verifikasi untuk integritas dan keamanan gambar yang disimpan.
8.1 Menetapkan dan Memelihara Proses Manajemen Log Audit audit-log-policy-exists (Pemeriksaan proses) Menetapkan dan memelihara kebijakan manajemen log audit yang menentukan persyaratan pencatatan organisasi Anda. Ini termasuk, namun tidak terbatas pada, peninjauan dan retensi log audit.
8.2 Kumpulkan Log Audit

api-gw-eksekusi-loging-diaktifkan

Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
8.2 Kumpulkan Log Audit

multi-wilayah-cloudtrail-diaktifkan

AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
8.2 Kumpulkan Log Audit

cloudtrail-s3-dataevents-diaktifkan

Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
8.2 Kumpulkan Log Audit

cloudtrail-diaktifkan

AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
8.2 Kumpulkan Log Audit

cloud-trail-cloud-watch-logs-diaktifkan

Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
8.2 Kumpulkan Log Audit

elasticsearch-logs-to-cloudwatch

Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
8.2 Kumpulkan Log Audit

vpc-flow-logs-diaktifkan

Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
8.2 Kumpulkan Log Audit

elb-loging-diaktifkan

Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
8.2 Kumpulkan Log Audit

rds-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
8.2 Kumpulkan Log Audit

s3-bucket-loging-diaktifkan

Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
8.2 Kumpulkan Log Audit

redshift-cluster-configuration-check

Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
8.2 Kumpulkan Log Audit

wafv2-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
8.2 Kumpulkan Log Audit

codebuild-project-logging-diaktifkan

Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda.
8.3 Pastikan Penyimpanan Log Audit yang Memadai

s3-versi-lifecycle-policy-check

Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu).
8.5 Kumpulkan Log Audit Terperinci

api-gw-eksekusi-loging-diaktifkan

Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
8.5 Kumpulkan Log Audit Terperinci

multi-wilayah-cloudtrail-diaktifkan

AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
8.5 Kumpulkan Log Audit Terperinci

cloudtrail-s3-dataevents-diaktifkan

Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
8.5 Kumpulkan Log Audit Terperinci

cloudtrail-diaktifkan

AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
8.5 Kumpulkan Log Audit Terperinci

cloud-trail-cloud-watch-logs-diaktifkan

Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
8.5 Kumpulkan Log Audit Terperinci

elasticsearch-logs-to-cloudwatch

Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
8.5 Kumpulkan Log Audit Terperinci

vpc-flow-logs-diaktifkan

Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
8.5 Kumpulkan Log Audit Terperinci

elb-loging-diaktifkan

Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
8.5 Kumpulkan Log Audit Terperinci

rds-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
8.5 Kumpulkan Log Audit Terperinci

s3-bucket-loging-diaktifkan

Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
8.5 Kumpulkan Log Audit Terperinci

redshift-cluster-configuration-check

Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
8.5 Kumpulkan Log Audit Terperinci

wafv2-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
8.5 Kumpulkan Log Audit Terperinci

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
8.5 Kumpulkan Log Audit Terperinci

codebuild-project-logging-diaktifkan

Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda.
8.7 Kumpulkan Log Audit Permintaan URL

elb-loging-diaktifkan

Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
8.9 Sentralisasi Log Audit

cloud-trail-cloud-watch-logs-diaktifkan

Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
8.10 Mempertahankan Log Audit

s3-versi-lifecycle-policy-check

Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu).
8.10 Mempertahankan Log Audit

cw-loggroup-retensi-periode-check

Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya.
10.1 Menyebarkan dan Memelihara Perangkat Lunak Anti-Malware

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
10.2 Konfigurasikan Pembaruan Tanda Tangan Anti-Malware Otomatis

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
10.4 Konfigurasikan Pemindaian Anti-Malware Otomatis dari Media yang Dapat Dilepas

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
10.6 Mengelola Perangkat Lunak Anti-Malware secara Terpusat

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
10.7 Gunakan Perangkat Lunak Anti-Malware Berbasis Perilaku

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
11.2 Lakukan Pencadangan Otomatis 

dinamodb-in-backup-plan

Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.2 Lakukan Pencadangan Otomatis 

ebs-in-backup-plan

Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.2 Lakukan Pencadangan Otomatis 

contoh yang dioptimalkan ebs

Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan tambahan, kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda.
11.2 Lakukan Pencadangan Otomatis 

dynamodb-pitr-diaktifkan

Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
11.2 Lakukan Pencadangan Otomatis 

elasticache-redis-cluster-automatic-backup-check

Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
11.2 Lakukan Pencadangan Otomatis 

rencana efs-dalam-cadangan

Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.2 Lakukan Pencadangan Otomatis 

db-instance-backup-diaktifkan

Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
11.2 Lakukan Pencadangan Otomatis 

redshift-backup diaktifkan

Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
11.2 Lakukan Pencadangan Otomatis 

s3-bucket-versioning-diaktifkan

Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
11.2 Lakukan Pencadangan Otomatis 

redshift-cluster-maintenancesettings-check

Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
11.2 Lakukan Pencadangan Otomatis 

s3-bucket-replikasi-diaktifkan

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
11.2 Lakukan Pencadangan Otomatis 

s3-versi-lifecycle-policy-check

Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu).
11.3 Lindungi Data Pemulihan

backup-recovery-point-dienkripsi

Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
11.3 Lindungi Data Pemulihan

volume terenkripsi

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
11.3 Lindungi Data Pemulihan

ec2-ebs-enkripsi-secara default

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
11.3 Lindungi Data Pemulihan

rds-penyimpanan-terenkripsi

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

dinamodb-in-backup-plan

Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

ebs-in-backup-plan

Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

contoh yang dioptimalkan ebs

Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan tambahan, kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

dynamodb-pitr-diaktifkan

Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

elasticache-redis-cluster-automatic-backup-check

Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

rencana efs-dalam-cadangan

Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

db-instance-backup-diaktifkan

Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

redshift-backup diaktifkan

Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

s3-bucket-versioning-diaktifkan

Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

redshift-cluster-maintenancesettings-check

Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

s3-bucket-replikasi-diaktifkan

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
11.4 Membangun dan Mempertahankan Instance Data Pemulihan yang Terisolasi 

s3-versi-lifecycle-policy-check

Pastikan kebijakan siklus hidup Amazon S3 dikonfigurasi untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek (misalnya, mengalihkan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu).
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

acm-sertifikat-kadaluarsa-cek

Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

dms-replikasi-tidak-publik

Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

ebs-snapshot-public-restorable check

Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

terbatas-ssh

Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

vpc-default-security-group-closed

Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

ec2-instance-tidak-publik-ip

Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

elasticsearch-in-vpc-only

Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

contoh ec2-dalam-vpc

Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

emr-master-tidak-ip publik

Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

tanpa batasan-rute-ke-igw

Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

lambda-fungsi-publik-akses-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

lambda-dalam-vpc

Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

rds-snapshots-publik-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

rds-instance-public-access-check

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

port umum terbatas

Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

redshift-cluster-public-access-check

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

s3-akun-tingkat-akses-publik-blok-periodik

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

s3-ember-publik-baca-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

s3-ember-publik-tulis-dilarang

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

sagemaker-notebook-tidak-akses internet-langsung

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

subnet-auto-assign-public-ip-disabled

Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

vpc-sg-port terbuka saja-untuk-resmi

Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

ssm-dokumen-tidak-publik

Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

autoscaling-launch-config-public-ip-disabled

Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

redshift-enhanced-vpc-routing-enabled

Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

dynamodb-autoscaling-diaktifkan

Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

elb-cross-zone-load-balancing-diaktifkan

Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

elb-deletion-proteksi-diaktifkan

Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

rds-instance-deletion-protection-enabled

Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

dukungan rds-multi-az

Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

vpc-vpn-2-terowongan

Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

opensearch-in-vpc-only

Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
12.2 Membangun dan Memelihara Arsitektur Jaringan yang Aman

elbv2-multiple-az

Elastic Load Balancing (ELB) secara otomatis mendistribusikan lalu lintas masuk Anda ke beberapa target, seperti instans EC2, kontainer, dan alamat IP, di zona ketersediaan. Untuk memastikan ketersediaan tinggi, pastikan ELB Anda telah mendaftarkan instans dari beberapa Availability Zone.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

api-gw-ssl-diaktifkan

Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

pemeriksaan pengalihan alb-http-ke-https-

Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

elb-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

elb-tls-https-pendengar saja

Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

s3-ember-ssl-permintaan-saja

Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

redshift-require-tls-ssl

Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

elbv2-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
12.3 Mengelola Infrastruktur Jaringan dengan Aman

opensearch-https-diperlukan

Karena data sensitif dapat ada dan membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

api-gw-ssl-diaktifkan

Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

pemeriksaan pengalihan alb-http-ke-https-

Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

elb-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

elb-tls-https-pendengar saja

Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

s3-ember-ssl-permintaan-saja

Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

redshift-require-tls-ssl

Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

elbv2-acm-sertifikat-diperlukan

Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
12.6 Penggunaan Manajemen Jaringan Aman dan Protokol Komunikasi 

opensearch-https-diperlukan

Karena data sensitif dapat ada dan membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda.
13.1 Memusatkan Peringatan Acara Keamanan

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
13.1 Memusatkan Peringatan Acara Keamanan

Securityhub diaktifkan

AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
13.3 Menerapkan Solusi Deteksi Intrusi Jaringan

perwalian diaktifkan-terpusat

Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
13.6 Kumpulkan Log Arus Lalu Lintas Jaringan

vpc-flow-logs-diaktifkan

Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
13.6 Kumpulkan Log Arus Lalu Lintas Jaringan

wafv2-logging-diaktifkan

Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
13.10 Lakukan Penyaringan Lapisan Aplikasi

api-gw-terkait-dengan-waf

AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
16.1 Membangun dan Menjaga Proses Pengembangan Aplikasi yang Aman

codebuild-project-envvar-awscred-check

Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
16.1 Membangun dan Menjaga Proses Pengembangan Aplikasi yang Aman

codebuild-project-source-repo-url-check

Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredensyal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub
16.1 Membangun dan Menjaga Proses Pengembangan Aplikasi yang Aman

codebuild-project-environment-privileged-check

Untuk membantu menerapkan prinsip hak istimewa paling sedikit, pastikan lingkungan CodeBuild proyek Amazon Anda tidak mengaktifkan mode istimewa. Pengaturan ini harus dinonaktifkan untuk mencegah akses yang tidak diinginkan ke API Docker serta perangkat keras yang mendasarinya.
16.1 Membangun dan Menjaga Proses Pengembangan Aplikasi yang Aman

codebuild-project-artifact-enkripsi

Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk AWS CodeBuild artefak Anda.
16.1 Membangun dan Menjaga Proses Pengembangan Aplikasi yang Aman

codebuild-project-logging-diaktifkan

Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda.
16.12 Menerapkan Pemeriksaan Keamanan Tingkat Kode

codebuild-project-envvar-awscred-check

Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
16.12 Menerapkan Pemeriksaan Keamanan Tingkat Kode

codebuild-project-source-repo-url-check

Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredensyal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub
16.12 Menerapkan Pemeriksaan Keamanan Tingkat Kode

codebuild-project-environment-privileged-check

Untuk membantu menerapkan prinsip hak istimewa paling sedikit, pastikan lingkungan CodeBuild proyek Amazon Anda tidak mengaktifkan mode istimewa. Pengaturan ini harus dinonaktifkan untuk mencegah akses yang tidak diinginkan ke API Docker serta perangkat keras yang mendasarinya.
16.12 Menerapkan Pemeriksaan Keamanan Tingkat Kode

codebuild-project-artifact-enkripsi

Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk AWS CodeBuild artefak Anda.
16.12 Menerapkan Pemeriksaan Keamanan Tingkat Kode

codebuild-project-logging-diaktifkan

Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda.

Templat

Template tersedia di GitHub: Praktik Terbaik Operasional untuk Kontrol Keamanan Kritis CIS v8 IG3.