Praktik Terbaik Operasional untuk CMMC Level 5

Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.

Berikut ini memberikan contoh pemetaan antara aturan Cybersecurity Maturity Model Certification (CMMC) Level 5 dan managed AWS Config. Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol CMMC Level 5. Kontrol CMMC Level 5 dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.

catatan

Karena panduan tentatif yang diberikan oleh DoD dan Badan Akreditasi CMMC sehubungan dengan timbal balik FedRAMP untuk CMMC Level 3 - 5, disarankan agar AWS GovCloud pelanggan menggunakan wilayah (AS) saat ini untuk setiap beban kerja yang memerlukan kepatuhan dengan CMMC Level 3 - 5. Dengan demikian, templat paket kesesuaian untuk CMMC Level 3 - 5 tidak tersedia dalam konsol paket kesesuaian untuk menghindari kebingungan. Pelanggan dapat secara independen menginstal aturan Config yang memetakan panduan tentatif untuk CMMC Level 3-5 (tanpa template paket kesesuaian) dari CloudFormation menggunakan contoh file YAMM yang ditautkan dalam dokumen ini.

ID Kontrol	Deskripsi Kontrol	AWS Aturan Config	Bimbingan
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	access-keys-rotated	Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ec2-imdsv2-periksa	Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ec2- instance-profile-attached	Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-customer-policy-blocked-kms-tindakan	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-inline-policy-blocked-kms-tindakan	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredensi masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	iam-user-unused-credentials-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensi yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	root-account-hardware-mfa-diaktifkan	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	root-account-mfa-enabled	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	secretsmanager-rotation-enabled-check	Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	secretsmanager-scheduled-rotation-success-periksa	Aturan ini memastikan bahwa AWS rahasia Secrets Manager telah berhasil diputar sesuai dengan jadwal rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode di mana rahasia aktif, dan berpotensi mengurangi dampak bisnis jika dikompromikan.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
AC.1.001	Batasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya).	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	ec2-imdsv2-periksa	Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredensi masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	root-account-hardware-mfa-diaktifkan	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	root-account-mfa-enabled	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
AC.1.002	Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan oleh pengguna yang berwenang untuk dijalankan.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
AC.1.003	Verifikasi dan kendali/batasi koneksi ke dan penggunaan sistem informasi eksternal.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	ec2-imdsv2-periksa	Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-customer-policy-blocked-kms-tindakan	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-inline-policy-blocked-kms-tindakan	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
AC.2.007	Gunakan prinsip hak istimewa terkecil, termasuk untuk fungsi keamanan tertentu dan akun istimewa.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-customer-policy-blocked-kms-tindakan	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-inline-policy-blocked-kms-tindakan	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.2.008	Gunakan akun atau peran yang tidak memiliki hak istimewa saat mengakses fungsi non-keamanan.	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.2.013	Pantau dan kendalikan sesi akses jarak jauh.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
AC.2.013	Pantau dan kendalikan sesi akses jarak jauh.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AC.2.013	Pantau dan kendalikan sesi akses jarak jauh.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AC.2.013	Pantau dan kendalikan sesi akses jarak jauh.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
AC.2.016	Kontrol aliran CUI sesuai dengan otorisasi yang disetujui.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	acm-certificate-expiration-check	Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	elasticsearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.014	Gunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh.	opensearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-customer-policy-blocked-kms-tindakan	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.3.017	Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-customer-policy-blocked-kms-tindakan	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-inline-policy-blocked-kms-tindakan	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms:). ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-user-group-membership-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AC.3.018	Mencegah pengguna yang tidak memiliki hak istimewa mengeksekusi fungsi istimewa dan menangkap eksekusi fungsi tersebut di log audit.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
AC.4.023	Kontrol arus informasi antara domain keamanan pada sistem yang terhubung.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
AC.5.024	Mengidentifikasi dan mengurangi risiko yang terkait dengan titik akses nirkabel tak dikenal yang terhubung ke jaringan.	vpc-network-acl-unused-periksa	Aturan ini memastikan bahwa daftar kontrol akses jaringan Amazon Virtual Private Cloud (VPC) sedang digunakan. Pemantauan untuk daftar kontrol akses jaringan yang tidak digunakan dapat membantu inventaris dan pengelolaan lingkungan Anda yang akurat.
AM.4.226	Gunakan kemampuan untuk menemukan dan mengidentifikasi sistem dengan atribut komponen tertentu (misalnya, tingkat firmware, jenis OS) dalam inventaris Anda.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
AM.4.226	Gunakan kemampuan untuk menemukan dan mengidentifikasi sistem dengan atribut komponen tertentu (misalnya, tingkat firmware, jenis OS) dalam inventaris Anda.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
AM.4.226	Gunakan kemampuan untuk menemukan dan mengidentifikasi sistem dengan atribut komponen tertentu (misalnya, tingkat firmware, jenis OS) dalam inventaris Anda.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
AU.2.041	Pastikan bahwa tindakan pengguna sistem individu dapat ditelusuri secara unik ke pengguna tersebut sehingga mereka dapat dimintakan pertanggungjawaban atas tindakan mereka.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	cw-loggroup-retention-period-periksa	Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
AU.2.042	Membuat dan menyimpan log dan catatan audit sistem sejauh yang diperlukan untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
AU.3.046	Peringatan jika terjadi kegagalan proses pencatatan audit.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
AU.3.046	Peringatan jika terjadi kegagalan proses pencatatan audit.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AU.3.046	Peringatan jika terjadi kegagalan proses pencatatan audit.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AU.3.046	Peringatan jika terjadi kegagalan proses pencatatan audit.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	cloudwatch-log-group-encrypted	Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	cloud-trail-encryption-enabled	Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	cloud-trail-log-file-validasi-diaktifkan	Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-default-lock-enabled	Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-policy-grantee-check	Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- -diaktifkan bucket-server-side-encryption	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
AU.3.049	Lindungi informasi audit dan alat pencatatan audit dari akses, modifikasi, dan penghapusan yang tidak sah.	s3- default-encryption-kms	Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
AU.3.051	Mengkorelasikan proses peninjauan, analisis, dan pelaporan catatan audit untuk investigasi dan tanggapan terhadap indikasi aktivitas yang melanggar hukum, tidak sah, mencurigakan, atau tidak biasa.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AU.3.051	Mengkorelasikan proses peninjauan, analisis, dan pelaporan catatan audit untuk investigasi dan tanggapan terhadap indikasi aktivitas yang melanggar hukum, tidak sah, mencurigakan, atau tidak biasa.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AU.4.053	Mengotomatiskan analisis log audit untuk mengidentifikasi dan bertindak berdasarkan indikator kritis (TTP) dan/atau aktivitas mencurigakan yang ditentukan secara organisasi.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
AU.4.053	Mengotomatiskan analisis log audit untuk mengidentifikasi dan bertindak berdasarkan indikator kritis (TTP) dan/atau aktivitas mencurigakan yang ditentukan secara organisasi.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AU.4.053	Mengotomatiskan analisis log audit untuk mengidentifikasi dan bertindak berdasarkan indikator kritis (TTP) dan/atau aktivitas mencurigakan yang ditentukan secara organisasi.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AU.4.053	Mengotomatiskan analisis log audit untuk mengidentifikasi dan bertindak berdasarkan indikator kritis (TTP) dan/atau aktivitas mencurigakan yang ditentukan secara organisasi.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AU.4.054	Meninjau informasi audit untuk aktivitas luas selain aktivitas per mesin.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
AU.4.054	Meninjau informasi audit untuk aktivitas luas selain aktivitas per mesin.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AU.4.054	Meninjau informasi audit untuk aktivitas luas selain aktivitas per mesin.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
AU.5.055	Identifikasi aset yang tidak melaporkan log audit dan memastikan sistem yang ditentukan secara organisasi yang sesuai dicatat.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
CA.3.161	Pantau kontrol keamanan secara berkelanjutan untuk memastikan efektivitas kontrol yang berkelanjutan.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
CA.3.161	Pantau kontrol keamanan secara berkelanjutan untuk memastikan efektivitas kontrol yang berkelanjutan.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
CA.3.161	Pantau kontrol keamanan secara berkelanjutan untuk memastikan efektivitas kontrol yang berkelanjutan.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	ec2-stopped-instance	Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah instans Amazon EC2 telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	ec2- volume-inuse-check	Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil.
CM.2.061	Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup pengembangan sistem masing-masing.	terlampir eip	Aturan ini memastikan IP Elastis yang dialokasikan ke Amazon Virtual Private Cloud (Amazon VPC) dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) atau Antarmuka Jaringan Elastis yang sedang digunakan. Aturan ini membantu memantau EIP yang tidak digunakan di lingkungan Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ec2- volume-inuse-check	Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
CM.2.062	Gunakan prinsip fungsionalitas terkecil dengan mengkonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
CM.2.063	Kontrol dan pantau perangkat lunak yang diinstal pengguna.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.2.063	Kontrol dan pantau perangkat lunak yang diinstal pengguna.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.2.063	Kontrol dan pantau perangkat lunak yang diinstal pengguna.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	account-part-of-organizations	Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	cloudtrail-security-trail-enabled	Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	cloud-trail-log-file-validasi-diaktifkan	Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	elastic-beanstalk-managed-updates-diaktifkan	Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	rds-automatic-minor-version-upgrade diaktifkan	Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	redshift-cluster-maintenancesettings-check	Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
CM.2.064	Menetapkan dan menegakkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
CM.2.065	Melacak, meninjau, menyetujui, atau tidak menyetujui, dan mencatat perubahan pada sistem organisasi.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
CM.3.068	Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
CM.5.074	Verifikasi integritas dan kebenaran perangkat lunak penting atau penting keamanan seperti yang didefinisikan oleh organisasi (misalnya, akar kepercayaan, verifikasi formal, atau tanda tangan kriptografi).	cloud-trail-log-file-validasi-diaktifkan	Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi.
CM.5.074	Verifikasi integritas dan kebenaran perangkat lunak penting atau penting keamanan seperti yang didefinisikan oleh organisasi (misalnya, akar kepercayaan, verifikasi formal, atau tanda tangan kriptografi).	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
CM.5.074	Verifikasi integritas dan kebenaran perangkat lunak penting atau penting keamanan seperti yang didefinisikan oleh organisasi (misalnya, akar kepercayaan, verifikasi formal, atau tanda tangan kriptografi).	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
CM.5.074	Verifikasi integritas dan kebenaran perangkat lunak penting atau penting keamanan seperti yang didefinisikan oleh organisasi (misalnya, akar kepercayaan, verifikasi formal, atau tanda tangan kriptografi).	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
IA.1.076	Identifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredensi masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	root-account-hardware-mfa-diaktifkan	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
IA.1.077	Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk memungkinkan akses ke sistem informasi organisasi.	root-account-mfa-enabled	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
IA.2.078	Menerapkan kompleksitas kata sandi minimum dan perubahan karakter saat kata sandi baru dibuat.	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
IA.2.079	Melarang penggunaan kembali kata sandi untuk sejumlah generasi tertentu.	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	alb-http-drop-invalid-Header-diaktifkan	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	api-gw-cache-enabled-dan-dienkripsi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	ec2- ebs-encryption-by-default	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	efs-encrypted-check	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	elasticsearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	elasticsearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	volume terenkripsi	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	rds-snapshot-encrypted	Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	rds-storage-encrypted	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	redshift-cluster-kms-enabled	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	s3- -diaktifkan bucket-server-side-encryption	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	s3- default-encryption-kms	Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	sagemaker-endpoint-configuration-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	sagemaker-notebook-instance-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	sns-encrypted-kms	Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	opensearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda.
IA.2.081	Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografi.	opensearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
IA.3.083	Gunakan otentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun yang tidak memiliki hak istimewa.	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
IA.3.083	Gunakan otentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun yang tidak memiliki hak istimewa.	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
IA.3.083	Gunakan otentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun yang tidak memiliki hak istimewa.	root-account-hardware-mfa-diaktifkan	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
IA.3.083	Gunakan otentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun yang tidak memiliki hak istimewa.	root-account-mfa-enabled	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
IA.3.086	Nonaktifkan pengidentifikasi setelah periode tidak aktif yang ditentukan.	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
IA.3.086	Nonaktifkan pengidentifikasi setelah periode tidak aktif yang ditentukan.	iam-user-unused-credentials-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensi yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
IR.2.092	Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
IR.2.092	Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
IR.2.092	Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna.	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
IR.2.092	Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna.	lambda-dlq-check	Aktifkan aturan ini untuk membantu memberi tahu personel yang sesuai melalui Amazon Simple Queue Service (Amazon SQS) atau Amazon Simple Notification Service (Amazon SNS) saat fungsi gagal.
IR.2.092	Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
IR.2.093	Mendeteksi dan melaporkan peristiwa.	autoscaling-group-elb-healthcheck-diperlukan	Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru.
IR.2.093	Mendeteksi dan melaporkan peristiwa.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
IR.2.093	Mendeteksi dan melaporkan peristiwa.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
IR.2.093	Mendeteksi dan melaporkan peristiwa.	lambda-dlq-check	Aktifkan aturan ini untuk membantu memberi tahu personel yang sesuai melalui Amazon Simple Queue Service (Amazon SQS) atau Amazon Simple Notification Service (Amazon SNS) saat fungsi gagal.
IR.2.093	Mendeteksi dan melaporkan peristiwa.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
IR.5.102	Gunakan kombinasi respons real-time manual dan otomatis terhadap aktivitas anomali yang cocok dengan pola insiden.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
IR.5.102	Gunakan kombinasi respons real-time manual dan otomatis terhadap aktivitas anomali yang cocok dengan pola insiden.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
IR.5.102	Gunakan kombinasi respons real-time manual dan otomatis terhadap aktivitas anomali yang cocok dengan pola insiden.	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
IR.5.102	Gunakan kombinasi respons real-time manual dan otomatis terhadap aktivitas anomali yang cocok dengan pola insiden.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
MA.2.113	Memerlukan otentikasi multifaktor untuk membuat sesi pemeliharaan nonlokal dari koneksi jaringan eksternal dan menghentikan koneksi tersebut ketika pemeliharaan nonlokal selesai.	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
MA.2.113	Memerlukan otentikasi multifaktor untuk membuat sesi pemeliharaan nonlokal dari koneksi jaringan eksternal dan menghentikan koneksi tersebut ketika pemeliharaan nonlokal selesai.	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	backup-plan-min-frequency-and-min-retention-check	Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
RE.2.137	Lakukan dan uji pencadangan data secara teratur.	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
RE.2.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	backup-plan-min-frequency-and-min-retention-check	Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
RE.3.139	Secara teratur melakukan backup data yang lengkap, komprehensif, dan tangguh sebagaimana didefinisikan secara organisasi.	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	backup-plan-min-frequency-and-min-retention-check	Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	ebs-optimized-instance	Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan tambahan, kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	s3- bucket-default-lock-enabled	Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
RE.5.140	Memastikan fasilitas pemrosesan informasi memenuhi persyaratan kontinuitas, redundansi, dan ketersediaan keamanan informasi yang ditentukan secara organisasi.	vpc-vpn-2-terowongan	Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
RM.2.142	Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
RM.2.142	Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
RM.2.142	Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
RM.2.142	Pindai kerentanan dalam sistem dan aplikasi organisasi secara berkala dan ketika kerentanan baru yang memengaruhi sistem dan aplikasi tersebut diidentifikasi.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
RM.4.150	Menggunakan intelijen ancaman untuk menginformasikan pengembangan sistem dan arsitektur keamanan, pemilihan solusi keamanan, pemantauan, perburuan ancaman, dan aktivitas respons dan pemulihan.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
RM.4.151	Lakukan pemindaian untuk port tidak sah yang tersedia di seluruh batas jaringan perimeter atas batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
RM.4.151	Lakukan pemindaian untuk port tidak sah yang tersedia di seluruh batas jaringan perimeter atas batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
RM.4.151	Lakukan pemindaian untuk port tidak sah yang tersedia di seluruh batas jaringan perimeter atas batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
RM.4.151	Lakukan pemindaian untuk port tidak sah yang tersedia di seluruh batas jaringan perimeter atas batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SA.4.171	Membangun dan memelihara kemampuan berburu ancaman cyber untuk mencari indikator kompromi dalam sistem organisasi dan mendeteksi, melacak, dan mengganggu ancaman yang menghindari kontrol yang ada.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	alb-http-drop-invalid-Header-diaktifkan	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	elasticsearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
SC.1.175	Memantau, mengendalikan, dan melindungi komunikasi organisasi (yaitu, informasi yang dikirimkan atau diterima oleh sistem informasi organisasi) pada batas-batas eksternal dan batas-batas internal utama sistem informasi.	opensearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.2.179	Gunakan sesi terenkripsi untuk pengelolaan perangkat jaringan.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.2.179	Gunakan sesi terenkripsi untuk pengelolaan perangkat jaringan.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
SC.2.179	Gunakan sesi terenkripsi untuk pengelolaan perangkat jaringan.	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.2.179	Gunakan sesi terenkripsi untuk pengelolaan perangkat jaringan.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.2.179	Gunakan sesi terenkripsi untuk pengelolaan perangkat jaringan.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	account-part-of-organizations	Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	backup-plan-min-frequency-and-min-retention-check	Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	cloudtrail-security-trail-enabled	Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	codebuild-project-envvar-awscred-periksa	Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	codebuild-project-source-repo-url-periksa	Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ebs-optimized-instance	Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan tambahan, kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- bucket-default-lock-enabled	Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	vpc-vpn-2-terowongan	Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
SC.3.180	Menggunakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	no-unrestricted-route-to-igw	Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
SC.3.182	Mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	acm-certificate-expiration-check	Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	alb-http-drop-invalid-Header-diaktifkan	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	elasticsearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.185	Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI yang tidak sah selama transmisi kecuali dilindungi oleh perlindungan fisik alternatif.	opensearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.187	Menetapkan dan mengelola kunci kriptografi untuk kriptografi yang digunakan dalam sistem organisasi.	cmk-backing-key-rotation-diaktifkan	Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka.
SC.3.187	Menetapkan dan mengelola kunci kriptografi untuk kriptografi yang digunakan dalam sistem organisasi.	kms-cmk-not-scheduled-untuk-penghapusan	Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan (CMK) yang diperlukan tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja.
SC.3.190	Lindungi keaslian sesi komunikasi.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.190	Lindungi keaslian sesi komunikasi.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
SC.3.190	Lindungi keaslian sesi komunikasi.	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.3.190	Lindungi keaslian sesi komunikasi.	elb-acm-certificate-required	Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
SC.3.190	Lindungi keaslian sesi komunikasi.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.190	Lindungi keaslian sesi komunikasi.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	api-gw-cache-enabled-dan-dienkripsi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	cloudwatch-log-group-encrypted	Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	cloud-trail-encryption-enabled	Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	ec2- ebs-encryption-by-default	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	efs-encrypted-check	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	elasticsearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	volume terenkripsi	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	rds-snapshot-encrypted	Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	rds-storage-encrypted	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	redshift-cluster-kms-enabled	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	s3- -diaktifkan bucket-server-side-encryption	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	s3- default-encryption-kms	Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	sagemaker-endpoint-configuration-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	sagemaker-notebook-instance-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	sns-encrypted-kms	Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
SC.3.191	Lindungi kerahasiaan CUI saat istirahat.	opensearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda.
SC.4.199	Manfaatkan intelijen ancaman untuk secara proaktif memblokir permintaan DNS agar tidak mencapai domain jahat.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SC.4.199	Manfaatkan intelijen ancaman untuk secara proaktif memblokir permintaan DNS agar tidak mencapai domain jahat.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SC.4.202	Gunakan mekanisme untuk menganalisis kode dan skrip yang dapat dieksekusi (misalnya, kotak pasir) yang melintasi batas-batas jaringan Internet atau batas-batas yang ditentukan secara organisasi lainnya.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SC.5.198	Konfigurasikan sistem pemantauan untuk merekam paket yang melewati batas-batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SC.5.198	Konfigurasikan sistem pemantauan untuk merekam paket yang melewati batas-batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SC.5.198	Konfigurasikan sistem pemantauan untuk merekam paket yang melewati batas-batas jaringan Internet organisasi dan batas-batas yang ditentukan secara organisasi lainnya.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	internet-gateway-authorized-vpc-hanya	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	s3- -dilarang bucket-level-public-access	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
SC.5.208	Mempekerjakan perlindungan batas yang ditentukan secara organisasi dan disesuaikan di samping solusi yang tersedia secara komersial.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SC.5.230	Menegakkan kepatuhan port dan protokol.	alb-http-to-https-pemeriksaan-pengalihan	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.5.230	Menegakkan kepatuhan port dan protokol.	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
SC.5.230	Menegakkan kepatuhan port dan protokol.	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.5.230	Menegakkan kepatuhan port dan protokol.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
SC.5.230	Menegakkan kepatuhan port dan protokol.	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.5.230	Menegakkan kepatuhan port dan protokol.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
SC.5.230	Menegakkan kepatuhan port dan protokol.	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
SC.5.230	Menegakkan kepatuhan port dan protokol.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
SC.5.230	Menegakkan kepatuhan port dan protokol.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
SI.1.210	Mengidentifikasi, melaporkan, dan memperbaiki kelemahan sistem informasi dan informasi secara tepat waktu.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
SI.1.210	Mengidentifikasi, melaporkan, dan memperbaiki kelemahan sistem informasi dan informasi secara tepat waktu.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.1.210	Mengidentifikasi, melaporkan, dan memperbaiki kelemahan sistem informasi dan informasi secara tepat waktu.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SI.1.211	Memberikan perlindungan dari kode berbahaya di lokasi yang sesuai dalam sistem informasi organisasi.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.1.213	Lakukan pemindaian berkala sistem informasi dan pemindaian file secara real-time dari sumber eksternal saat file diunduh, dibuka, atau dieksekusi.	ecr-private-image-scanning-diaktifkan	Pemindaian gambar Amazon Elastic Container Repository (ECR) membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Mengaktifkan pemindaian gambar pada repositori ECR menambahkan lapisan verifikasi untuk integritas dan keamanan gambar yang disimpan.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
SI.2.214	Pantau peringatan dan saran keamanan sistem dan ambil tindakan sebagai tanggapan.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SI.2.216	Memantau sistem organisasi, termasuk lalu lintas komunikasi masuk dan keluar, untuk mendeteksi serangan dan indikator serangan potensial.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SI.2.217	Identifikasi penggunaan sistem organisasi yang tidak sah.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
SI.4.221	Gunakan informasi indikator ancaman yang relevan dengan informasi dan sistem yang dilindungi dan mitigasi efektif yang diperoleh dari organisasi eksternal untuk menginformasikan deteksi intrusi dan perburuan ancaman.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.5.222	Menganalisis perilaku sistem untuk mendeteksi dan mengurangi eksekusi perintah dan skrip sistem normal yang menunjukkan tindakan jahat.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	api-gw-associated-with-waf	AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	cloudwatch-alarm-action-check	Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	cw-loggroup-retention-period-periksa	Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	Securityhub diaktifkan	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
SI.5.223	Memantau individu dan komponen sistem secara berkelanjutan untuk perilaku anomali atau mencurigakan.	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.

Templat

Template tersedia di GitHub: Praktik Terbaik Operasional untuk CMMC Level 5.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik Terbaik Operasional untuk CMMC Level 4

Praktik Terbaik Operasional untuk CMMC 2.0 Level 1