Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk Tolok Ukur AWS Yayasan CIS v1.4 Level 1
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini menyediakan contoh pemetaan antara Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 1 dan aturan AWS Config terkelola/ Pemeriksaan Proses.AWS Config Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau beberapa kontrol CIS Amazon Web Services Foundation v1.4 Level 1. Kontrol CIS Amazon Web Services Foundation v1.4 Level 1 dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
Untuk informasi selengkapnya tentang pemeriksaan proses, lihat pemeriksaan proses.
| ID Kontrol | Deskripsi Kontrol | AWS Aturan Config | Bimbingan |
|---|---|---|---|
| 1.1 | Pertahankan detail kontak saat ini | account-contact-details-configured (pemeriksaan proses) | Pastikan email kontak dan nomor telepon untuk AWS akun terkini dan petakan ke lebih dari satu orang di organisasi Anda. Di bagian Akun Saya di konsol, pastikan informasi yang benar ditentukan di bagian Informasi Kontak. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Pastikan informasi kontak keamanan terdaftar | account-security-contact-configured (Pemeriksaan Proses) | Pastikan email kontak dan nomor telepon untuk tim keamanan organisasi Anda terkini. Di bagian Akun Saya di Konsol AWS Manajemen, pastikan informasi yang benar ditentukan di bagian Keamanan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Pastikan tidak ada kunci akses pengguna 'root' | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 1.5 | Pastikan MFA diaktifkan untuk pengguna 'root' | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| 1.7 | Hilangkan penggunaan pengguna 'root' untuk tugas administratif dan harian | root-account-regular-use (Pemeriksaan Proses) | Pastikan penggunaan akun root dihindari untuk tugas sehari-hari. Dalam IAM, jalankan laporan kredensyal untuk memeriksa kapan pengguna root terakhir digunakan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Pastikan kebijakan kata sandi IAM membutuhkan panjang minimum 14 atau lebih | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 1.9 | Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 1.10 | Pastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna yang memiliki kata sandi konsol | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 1.11 | Jangan mengatur kunci akses selama penyiapan pengguna awal untuk semua pengguna yang memiliki kata sandi konsol | iam-user-console-and- (Pemeriksaan Proses) api-access-at-creation | Pastikan kunci akses tidak diatur selama penyiapan pengguna awal untuk semua pengguna yang memiliki kata sandi konsol. Untuk semua pengguna dengan akses konsol, bandingkan 'Waktu pembuatan` pengguna dengan tanggal `Created` Kunci Akses. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Pastikan kredensil yang tidak digunakan selama 45 hari atau lebih dinonaktifkan | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (nilai Standar CIS: 45). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 1.13 | Pastikan hanya ada satu kunci akses aktif yang tersedia untuk setiap pengguna tunggal | iam- user-single-access-key (Pemeriksaan Proses) | Pastikan hanya ada satu kunci akses aktif yang tersedia untuk setiap pengguna tunggal. Untuk semua pengguna, periksa bahwa hanya ada satu kunci aktif yang digunakan dalam tab Security Credentials untuk setiap pengguna dalam IAM. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Pastikan kunci akses diputar setiap 90 hari atau kurang | Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 1.15 | Pastikan Pengguna Menerima Izin Hanya Melalui Grup | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 1.15 | Pastikan Pengguna Menerima Izin Hanya Melalui Grup | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 1.15 | Pastikan Pengguna Menerima Izin Hanya Melalui Grup | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 1.16 | Pastikan kebijakan IAM yang memungkinkan hak administratif “*: *” penuh tidak dilampirkan | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 1.17 | Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support | AWS Identity and Access Management (IAM) dapat membantu Anda mengelola izin akses dan otorisasi dengan memastikan bahwa kebijakan IAM ditetapkan ke pengguna, peran, atau grup yang sesuai. Membatasi kebijakan ini juga mencakup prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas. Aturan ini mengharuskan Anda menyetel PolicYarn ke arn:aws:iam: :aws:policy/, untuk manajemen insiden dengan Support. AWSSupportAccess AWS | |
| 1.19 | Pastikan bahwa semua sertifikat SSL/TLS kedaluwarsa yang disimpan di IAM dihapus AWS | iam-expired-certificates (Pemeriksaan Proses) | Pastikan bahwa semua sertifikat SSL/TLS kedaluwarsa yang disimpan di IAM dihapus. Dari baris perintah dengan AWS CLI yang diinstal jalankan perintah 'AWS iam list-server-certificates' dan tentukan apakah ada sertifikat server yang kedaluwarsa. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | Pastikan AWS IAM Access Analyzer diaktifkan | iam-access-analyzer-enabled (Pemeriksaan Proses) | Pastikan IAM Access Analyzer diaktifkan. Di bagian IAM konsol, pilih Access Analyzer dan pastikan STATUS diatur ke Aktif. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | Pastikan MFA Delete diaktifkan pada bucket S3 | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Menambahkan penghapusan otentikasi multi faktor (MFA) ke bucket S3 memerlukan faktor otentikasi tambahan untuk mengubah status versi bucket Anda atau untuk menghapus dan versi objek. MFA delete dapat menambahkan lapisan keamanan tambahan jika kredensyal keamanan dikompromikan atau akses tidak sah diberikan. | |
| 2.1.5 | Pastikan Bucket S3 dikonfigurasi dengan 'Blokir akses publik (pengaturan bucket) ' | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 2.1.5 | Pastikan Bucket S3 dikonfigurasi dengan 'Blokir akses publik (pengaturan bucket) ' | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| 2.2.1 | Pastikan enkripsi volume EBS diaktifkan | Karena data senstif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| 2.2.1 | Pastikan enkripsi volume EBS diaktifkan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 2.3.1 | Pastikan enkripsi diaktifkan untuk Instans RDS | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 2.3.1 | Pastikan enkripsi diaktifkan untuk Instans RDS | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 3.1 | Pastikan CloudTrail diaktifkan di semua wilayah | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| 3.3 | Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 3.3 | Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 3.3 | Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| 3.4 | Pastikan CloudTrail jalur terintegrasi dengan Log CloudWatch | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| 3.6 | Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3 | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 4.1 | Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah | alarm-unauthorized-api-calls (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA | alarm- sign-in-without-mfa (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk login AWS Management Console tanpa Multi-Factor Authentication (MFA). Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Pastikan filter metrik log dan alarm ada untuk penggunaan akun 'root' | alarm-root-account-use (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk penggunaan akun root. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM | alarm-iam-policy-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi | alarm-cloudtrail-config-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan AWS CloudTrail konfigurasi. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3 | alarm-s3- bucket-policy-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket Amazon S3. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan | alarm- vpc-network-gateway-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute | alarm- vpc-route-table-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Pastikan filter metrik log dan alarm ada untuk perubahan VPC | alarm-vpc-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan Amazon Virtual Private Cloud (VPC). Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Pastikan filter metrik log dan alarm ada untuk perubahan AWS Organizations | alarm-organizations-change (Pemeriksaan Proses) | Pastikan filter metrik log dan alarm ada untuk perubahan AWS Organizations. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Pastikan tidak ada ACL Jaringan yang memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Pastikan tidak ada ACL jaringan yang memungkinkan masuknya publik ke port administrasi server jarak jauh. Di bagian VPC konsol, pastikan ada ACL jaringan dengan sumber '0.0.0.0/0' dengan port yang memungkinkan atau rentang port termasuk port admin server jarak jauh. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| 5.2 | Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Nilai standar CIS: 3389). Nilai aktual harus mencerminkan kebijakan organisasi Anda. |
Templat
Template ini tersedia di GitHub: Praktik Terbaik Operasional untuk Tolok Ukur AWS Yayasan CIS v1.4
