Praktik Terbaik Operasional untuk Tolok Ukur AWS Yayasan CIS v1.4 Level 2 - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Operasional untuk Tolok Ukur AWS Yayasan CIS v1.4 Level 2

Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.

Berikut ini menyediakan contoh pemetaan antara Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 2 dan aturan AWS Config terkelola/ Pemeriksaan Proses.AWS Config Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau beberapa kontrol CIS Amazon Web Services Foundation v1.4 Level 2. Kontrol CIS Amazon Web Services Foundation v1.4 Level 2 dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.

Untuk informasi selengkapnya tentang pemeriksaan proses, lihat pemeriksaan proses.

Wilayah AWS Semua Wilayah AWS di mana paket kesesuaian didukung (Dukungan wilayah) kecuali (AS-Timur), AWS GovCloud (AS-Barat), dan Timur Tengah AWS GovCloud (Bahrain)

ID Kontrol Deskripsi Kontrol AWS Aturan Config Bimbingan
1.1 Pertahankan detail kontak saat ini account-contact-details-configured (pemeriksaan proses) Pastikan email kontak dan nomor telepon untuk AWS akun terkini dan petakan ke lebih dari satu orang di organisasi Anda. Di bagian Akun Saya di konsol, pastikan informasi yang benar ditentukan di bagian Informasi Kontak. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.2 Pastikan informasi kontak keamanan terdaftar account-security-contact-configured (Pemeriksaan Proses) Pastikan email kontak dan nomor telepon untuk tim keamanan organisasi Anda terkini. Di bagian Akun Saya di Konsol AWS Manajemen, pastikan informasi yang benar ditentukan di bagian Keamanan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.4 Pastikan tidak ada kunci akses pengguna 'root'

iam-root-access-key-periksa

Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit.
1.5 Pastikan MFA diaktifkan untuk pengguna 'root'

root-account-mfa-enabled

Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
1.6 Pastikan MFA perangkat keras diaktifkan untuk akun pengguna 'root'

root-account-hardware-mfa-diaktifkan

Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensyal masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
1.7 Hilangkan penggunaan pengguna 'root' untuk tugas administratif dan harian root-account-regular-use (Pemeriksaan Proses) Pastikan penggunaan akun root dihindari untuk tugas sehari-hari. Dalam IAM, jalankan laporan kredensyal untuk memeriksa kapan pengguna root terakhir digunakan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.8 Pastikan kebijakan kata sandi IAM membutuhkan panjang minimum 14 atau lebih

iam-password-policy

Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
1.9 Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

iam-password-policy

Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
1.10 Pastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna yang memiliki kata sandi konsol

mfa-enabled-for-iam-akses konsol

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
1.11 Jangan mengatur kunci akses selama penyiapan pengguna awal untuk semua pengguna yang memiliki kata sandi konsol iam-user-console-and- api-access-at-creation (Pemeriksaan Proses) Pastikan kunci akses tidak diatur selama penyiapan pengguna awal untuk semua pengguna yang memiliki kata sandi konsol. Untuk semua pengguna dengan akses konsol, bandingkan 'Waktu pembuatan` pengguna dengan tanggal `Created` Kunci Akses. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.12 Pastikan kredensyal yang tidak digunakan selama 45 hari atau lebih dinonaktifkan

iam-user-unused-credentials-periksa

AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (nilai Standar CIS: 45). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
1.13 Pastikan hanya ada satu kunci akses aktif yang tersedia untuk setiap pengguna iam-user-single-access-key (Pemeriksaan Proses) Pastikan hanya ada satu kunci akses aktif yang tersedia untuk setiap pengguna tunggal. Untuk semua pengguna, periksa bahwa hanya ada satu kunci aktif yang digunakan dalam tab Security Credentials untuk setiap pengguna dalam IAM. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.14 Pastikan kunci akses diputar setiap 90 hari atau kurang

access-keys-rotated

Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
1.15 Pastikan Pengguna Menerima Izin Hanya Melalui Grup

iam-user-no-policies-periksa

Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
1.15 Pastikan Pengguna Menerima Izin Hanya Melalui Grup

iam-no-inline-policy-periksa

Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
1.15 Pastikan Pengguna Menerima Izin Hanya Melalui Grup

iam-user-group-membership-periksa

AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
1.16 Pastikan kebijakan IAM yang memungkinkan hak administratif “*: *” penuh tidak dilampirkan

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
1.17 Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support

iam-policy-in-use

AWS Identity and Access Management (IAM) dapat membantu Anda mengelola izin akses dan otorisasi dengan memastikan bahwa kebijakan IAM ditetapkan ke pengguna, peran, atau grup yang sesuai. Membatasi kebijakan ini juga mencakup prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas. Aturan ini mengharuskan Anda menyetel PolicYarn ke arn:aws:iam: :aws:policy/, untuk manajemen insiden dengan Support. AWSSupportAccess AWS
1.18 Pastikan peran instans IAM digunakan untuk akses AWS sumber daya dari instance

ec2- instance-profile-attached

Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
1.19 Pastikan bahwa semua sertifikat SSL/TLS kedaluwarsa yang disimpan di IAM dihapus AWS iam-expired-certificates (Pemeriksaan Proses) Pastikan bahwa semua sertifikat SSL/TLS kedaluwarsa yang disimpan di IAM dihapus. Dari baris perintah dengan AWS CLI yang diinstal jalankan perintah 'AWS iam list-server-certificates' dan tentukan apakah ada sertifikat server yang kedaluwarsa. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.20 Pastikan AWS IAM Access Analyzer diaktifkan iam-access-analyzer-enabled (Pemeriksaan Proses) Pastikan IAM Access Analyzer diaktifkan. Di bagian IAM konsol, pilih Access Analyzer dan pastikan STATUS diatur ke Aktif. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
1.21 Pastikan pengguna dikelola secara terpusat dari federasi identitas atau AWS Organizations untuk lingkungan multi-akun account-part-of-organizations Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
2.1.1 Pastikan semua bucket S3 digunakan encryption-at-rest

s3- -diaktifkan bucket-server-side-encryption

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
2.1.2 Pastikan Kebijakan Bucket S3 disetel untuk menolak permintaan HTTP

s3- bucket-ssl-requests-only

Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
2.1.3 Pastikan MFA Delete diaktifkan pada bucket S3

s3- bucket-versioning-enabled

Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Menambahkan penghapusan otentikasi multi faktor (MFA) ke bucket S3 memerlukan faktor otentikasi tambahan untuk mengubah status versi bucket Anda atau untuk menghapus dan versi objek. MFA delete dapat menambahkan lapisan keamanan tambahan jika kredensyal keamanan dikompromikan atau akses tidak sah diberikan.
2.1.5 Pastikan Bucket S3 dikonfigurasi dengan 'Blokir akses publik (pengaturan bucket) '

s3- account-level-public-access -blok-periodik

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
2.1.5 Pastikan Bucket S3 dikonfigurasi dengan 'Blokir akses publik (pengaturan bucket) '

s3- -dilarang bucket-level-public-access

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
2.2.1 Pastikan enkripsi volume EBS diaktifkan

volume terenkripsi

Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
2.2.1 Pastikan enkripsi volume EBS diaktifkan

ec2- ebs-encryption-by-default

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
2.3.1 Pastikan enkripsi diaktifkan untuk Instans RDS

rds-snapshot-encrypted

Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
2.3.1 Pastikan enkripsi diaktifkan untuk Instans RDS

rds-storage-encrypted

Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
3.1 Pastikan CloudTrail diaktifkan di semua wilayah

multi-region-cloudtrail-enabled

AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
3.2 Pastikan validasi file CloudTrail log diaktifkan

cloud-trail-log-file-validasi-diaktifkan

Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi.
3.3 Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

s3- bucket-public-read-prohibited

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
3.3 Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

s3- bucket-public-write-prohibited

Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
3.3 Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

s3- -dilarang bucket-level-public-access

Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
3.4 Pastikan CloudTrail jalur terintegrasi dengan Log CloudWatch

cloud-trail-cloud-watch-logs-diaktifkan

Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
3.5 Pastikan AWS Config diaktifkan di semua wilayah config-enabled-all-regions (Pemeriksaan Proses) Pastikan AWS Config diaktifkan di semua AWS Wilayah. Di bagian AWS Config konsol, untuk setiap Wilayah yang diaktifkan, pastikan perekam AWS Config dikonfigurasi dengan benar. Pastikan pencatatan AWS sumber daya global diaktifkan setidaknya di satu Wilayah. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
3.6 Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

s3- bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
3.7 Pastikan CloudTrail log dienkripsi saat istirahat menggunakan KMS CMK

cloud-trail-encryption-enabled

Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda.
3.8 Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan

cmk-backing-key-rotation-diaktifkan

Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka.
3.9 Pastikan pencatatan aliran VPC diaktifkan di semua VPC

vpc-flow-logs-enabled

Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
3.10 Pastikan bahwa pencatatan tingkat Objek untuk peristiwa penulisan diaktifkan untuk bucket S3

cloudtrail-s3-dataevents-diaktifkan

Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
3.11 Pastikan pencatatan tingkat Objek untuk peristiwa baca diaktifkan untuk bucket S3

cloudtrail-s3-dataevents-diaktifkan

Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
4.1 Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah alarm-unauthorized-api-calls (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.2 Pastikan ada filter metrik log dan alarm untuk login Management Console tanpa MFA alarm-sign-in-without-mfa (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk login AWS Management Console tanpa Multi-Factor Authentication (MFA). Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.3 Pastikan filter metrik log dan alarm ada untuk penggunaan akun 'root' alarm-root-account-use (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk penggunaan akun root. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.4 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM alarm-iam-policy-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4,5 Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi alarm-cloudtrail-config-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan AWS CloudTrail konfigurasi. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.6 Pastikan ada filter metrik log dan alarm untuk kegagalan autentikasi AWS Management Console alarm-console-auth-failures (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk kegagalan autentikasi AWS Management Console. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.7 Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan CMK yang dibuat pelanggan alarm-kms-disable-or-delete-cmk (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan CMK yang dibuat pelanggan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.8 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3 alarm-s3- bucket-policy-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket Amazon S3. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.9 Pastikan filter metrik log dan alarm ada untuk perubahan AWS konfigurasi Config alarm-aws-config-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan AWS konfigurasi Config. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.10 Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan alarm-vpc-secrity-group-perubahan (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.11 Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL) alarm-vpc-nacl-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL). Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.12 Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan alarm-vpc-network-gateway-perubahan (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.13 Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute alarm-vpc-route-table-perubahan (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.14 Pastikan filter metrik log dan alarm ada untuk perubahan VPC alarm-vpc-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan Amazon Virtual Private Cloud (VPC). Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
4.15 Pastikan filter metrik log dan alarm ada untuk perubahan AWS Organizations alarm-organizations-change (Pemeriksaan Proses) Pastikan filter metrik log dan alarm ada untuk perubahan AWS Organizations. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
5.1 Pastikan tidak ada ACL Jaringan yang memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

nacl-no-unrestricted-ssh-rdp

Pastikan tidak ada ACL jaringan yang memungkinkan masuknya publik ke port administrasi server jarak jauh. Di bagian VPC konsol, pastikan ada ACL jaringan dengan sumber '0.0.0.0/0' dengan port yang memungkinkan atau rentang port termasuk port admin server jarak jauh. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/
5.2 Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

terbatas-ssh

Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
5.2 Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

restricted-common-ports

Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Nilai standar CIS: 3389). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
5.3 Pastikan grup keamanan default dari setiap VPC membatasi semua lalu lintas

vpc-default-security-group-tertutup

Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
5.4 Pastikan tabel perutean untuk peering VPC adalah “akses paling sedikit” vpc-peering-least-access (Pemeriksaan Proses) Pastikan tabel perutean untuk peering VPC Amazon adalah “akses paling sedikit”. Di bagian VPC konsol, periksa entri tabel rute untuk memastikan bahwa jumlah subnet atau host paling sedikit diperlukan untuk mencapai tujuan peering dapat dirutekan. Untuk detail lebih lanjut tentang audit kontrol ini, silakan merujuk ke dokumen CIS Amazon Web Services Foundations Benchmark versi 1.4.0 yang tersedia di https://www.cisecurity.org/benchmark/amazon_web_services/

Templat

Template ini tersedia di GitHub: Praktik Terbaik Operasional untuk Tolok Ukur AWS Yayasan CIS v1.4 Level 2.