Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk NIST 800-53 rev 4
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini menyediakan contoh pemetaan antara aturan NIST 800-53 dan Config terkelola AWS . Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol NIST 800-53. Kontrol NIST 800-53 dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
Paket Kesesuaian ini divalidasi oleh AWS Security Assurance Services LLC (AWS SAS), yang merupakan tim dari Payment Card Industry Qualified Security Assesors (QSAs), HITRUST Certified Common Security Framework Practitioners (CCSFPs), dan profesional kepatuhan yang disertifikasi untuk memberikan panduan dan penilaian untuk berbagai kerangka kerja industri. AWS Profesional SAS merancang Paket Kesesuaian ini untuk memungkinkan pelanggan menyelaraskan ke subset NIST 800-53.
| ID Kontrol | Deskripsi Kontrol | AWS Config Aturan | Bimbingan |
|---|---|---|---|
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | Aturan ini memastikan bahwa AWS rahasia Secrets Manager telah berhasil diputar sesuai dengan jadwal rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode di mana rahasia aktif, dan berpotensi mengurangi dampak bisnis jika dikompromikan. | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AC-2 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung pengelolaan akun sistem informasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AC-2 (3) | Sistem informasi secara otomatis menonaktifkan akun yang tidak aktif setelah [Penugasan: periode waktu yang ditentukan organisasi]. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua Wilayah AWS ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| AC-2 (4) | Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan: personel atau peran yang ditentukan organisasi]. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (12) (a) | Organisasi: a. Memantau akun sistem informasi untuk [Penugasan: penggunaan atipikal yang ditentukan organisasi]. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AC-2 (12) (a) | Organisasi: a. Memantau akun sistem informasi untuk [Penugasan: penggunaan atipikal yang ditentukan organisasi]. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AC-2 (f) | Organisasi: f. Membuat, mengaktifkan, memodifikasi, menonaktifkan, dan menghapus akun sistem informasi sesuai dengan [Penugasan: prosedur atau kondisi yang ditentukan organisasi]. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (f) | Organisasi: f. Membuat, mengaktifkan, memodifikasi, menonaktifkan, dan menghapus akun sistem informasi sesuai dengan [Penugasan: prosedur atau kondisi yang ditentukan organisasi]. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (f) | Organisasi: f. Membuat, mengaktifkan, memodifikasi, menonaktifkan, dan menghapus akun sistem informasi sesuai dengan [Penugasan: prosedur atau kondisi yang ditentukan organisasi]. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| AC-2 (g) | Organisasi: g. Memantau penggunaan akun sistem informasi. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Aturan ini memastikan bahwa AWS rahasia Secrets Manager telah berhasil diputar sesuai dengan jadwal rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode di mana rahasia aktif, dan berpotensi mengurangi dampak bisnis jika dikompromikan. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengotentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| AC-2 (j) | Organisasi: j. Ulasan akun untuk kepatuhan dengan persyaratan manajemen akun [Penugasan: frekuensi yang ditentukan organisasi]. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengotentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| AC-3 | Sistem informasi memberlakukan otorisasi yang disetujui untuk akses logis ke informasi dan sumber daya sistem sesuai dengan kebijakan kontrol akses yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-4 | Sistem informasi memberlakukan otorisasi yang disetujui untuk mengendalikan aliran informasi dalam sistem dan antara sistem yang saling berhubungan berdasarkan [Penugasan: kebijakan kontrol aliran informasi yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| AC-5c | Organisasi: c. Mendefinisikan otorisasi akses sistem informasi untuk mendukung pemisahan tugas. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengotentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| AC-5c | Organisasi: c. Mendefinisikan otorisasi akses sistem informasi untuk mendukung pemisahan tugas. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| AC-5c | Organisasi: c. Mendefinisikan otorisasi akses sistem informasi untuk mendukung pemisahan tugas. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| AC-5c | Organisasi: c. Mendefinisikan otorisasi akses sistem informasi untuk mendukung pemisahan tugas. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengotentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance. | |
| AC-6 | Organisasi menggunakan prinsip hak istimewa paling sedikit, hanya memungkinkan akses resmi untuk pengguna (atau proses yang bertindak atas nama pengguna) yang diperlukan untuk menyelesaikan tugas yang diberikan sesuai dengan misi organisasi dan fungsi bisnis. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| AC-6 (10) | Sistem informasi mencegah pengguna yang tidak memiliki hak istimewa untuk menjalankan fungsi istimewa untuk menyertakan menonaktifkan, menghindari, atau mengubah pengamanan keamanan/penanggulangan yang diterapkan. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| AC-17 (1) | Sistem informasi memantau dan mengontrol metode akses jarak jauh. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AC-17 (1) | Sistem informasi memantau dan mengontrol metode akses jarak jauh. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| AC-17 (2) | Sistem informasi menerapkan mekanisme kriptografi untuk melindungi kerahasiaan dan integritas sesi akses jarak jauh. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| AC-17 (3) | Sistem informasi merutekan semua akses jarak jauh melalui [Penugasan: nomor yang ditentukan organisasi] titik kontrol akses jaringan terkelola. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| AC-21 (b) | Organisasi: b. Mempekerjakan [Penugasan: mekanisme otomatis yang ditentukan organisasi atau proses manual] untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua Wilayah AWS ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| AU-2 (a) (d) | Organisasi: a. Menentukan bahwa sistem informasi mampu mengaudit peristiwa-peristiwa berikut: [Penugasan: peristiwa yang dapat diaudit yang ditentukan organisasi]; d. Menentukan bahwa peristiwa berikut akan diaudit dalam sistem informasi: [Penugasan: peristiwa audit yang ditentukan organisasi (bagian dari peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a.) bersama dengan frekuensi (atau situasi yang membutuhkan) audit untuk setiap peristiwa yang diidentifikasi]. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua Wilayah AWS ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| AU-3 | Sistem informasi menghasilkan catatan audit yang berisi informasi yang menetapkan jenis peristiwa apa yang terjadi, kapan peristiwa itu terjadi, di mana peristiwa itu terjadi, sumber peristiwa, hasil peristiwa, dan identitas setiap individu atau subjek yang terkait dengan peristiwa tersebut. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| AU-6 (1) (3) | (1) Organisasi menggunakan mekanisme otomatis untuk mengintegrasikan tinjauan audit, analisis, dan proses pelaporan untuk mendukung proses organisasi untuk penyelidikan dan respons terhadap kegiatan yang mencurigakan. (3) Organisasi menganalisis dan mengkorelasikan catatan audit di berbagai repositori untuk mendapatkan kesadaran situasional di seluruh organisasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| AU-6 (1) (3) | (1) Organisasi menggunakan mekanisme otomatis untuk mengintegrasikan tinjauan audit, analisis, dan proses pelaporan untuk mendukung proses organisasi untuk penyelidikan dan respons terhadap kegiatan yang mencurigakan. (3) Organisasi menganalisis dan mengkorelasikan catatan audit di berbagai repositori untuk mendapatkan kesadaran situasional di seluruh organisasi. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| AU-6 (1) (3) | (1) Organisasi menggunakan mekanisme otomatis untuk mengintegrasikan tinjauan audit, analisis, dan proses pelaporan untuk mendukung proses organisasi untuk penyelidikan dan respons terhadap kegiatan yang mencurigakan. (3) Organisasi menganalisis dan mengkorelasikan catatan audit di berbagai repositori untuk mendapatkan kesadaran situasional di seluruh organisasi. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| AU-6 (1) (3) | (1) Organisasi menggunakan mekanisme otomatis untuk mengintegrasikan tinjauan audit, analisis, dan proses pelaporan untuk mendukung proses organisasi untuk penyelidikan dan respons terhadap kegiatan yang mencurigakan. (3) Organisasi menganalisis dan mengkorelasikan catatan audit di berbagai repositori untuk mendapatkan kesadaran situasional di seluruh organisasi. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AU-7 (1) | Sistem informasi menyediakan kemampuan untuk memproses catatan audit untuk peristiwa yang menarik berdasarkan [Penugasan: bidang audit yang ditentukan organisasi dalam catatan audit]. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| AU-7 (1) | Sistem informasi menyediakan kemampuan untuk memproses catatan audit untuk peristiwa yang menarik berdasarkan [Penugasan: bidang audit yang ditentukan organisasi dalam catatan audit]. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AU-9 | Sistem informasi melindungi informasi audit dan alat audit dari akses, modifikasi, dan penghapusan yang tidak sah. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| AU-9 | Sistem informasi melindungi informasi audit dan alat audit dari akses, modifikasi, dan penghapusan yang tidak sah. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| AU-9 (2) | Sistem informasi mencadangkan catatan audit [Penugasan: frekuensi yang ditentukan organisasi] ke sistem atau komponen sistem yang berbeda secara fisik dari sistem atau komponen yang diaudit. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| AU-11 | Organisasi menyimpan catatan audit untuk [Penugasan: periode waktu yang ditentukan organisasi yang konsisten dengan kebijakan penyimpanan catatan] untuk memberikan dukungan untuk after-the-fact investigasi insiden keamanan dan untuk memenuhi persyaratan penyimpanan informasi peraturan dan organisasi. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua Wilayah AWS ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| AU-12 (a) (c) | Sistem informasi: a. Menyediakan kemampuan pembuatan catatan audit untuk peristiwa yang dapat diaudit yang didefinisikan dalam AU-2 a. di [Penugasan: komponen sistem informasi yang ditentukan organisasi]; c. Menghasilkan catatan audit untuk peristiwa yang didefinisikan dalam AU-2 d. dengan konten yang ditentukan dalam AU-3. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| CA-7 (a) (b) | Organisasi mengembangkan strategi pemantauan berkelanjutan dan menerapkan program pemantauan berkelanjutan yang meliputi: a. Pembentukan [Penugasan: metrik yang ditentukan organisasi] untuk dipantau; b. Pembentukan [Penugasan: frekuensi yang ditentukan organisasi] untuk pemantauan dan [Penugasan: frekuensi yang ditentukan organisasi] untuk penilaian yang mendukung pemantauan tersebut. | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah instans Amazon EC2 telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| CM-2 | Organisasi mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar saat ini dari sistem informasi. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| CM-7 (a) | Organisasi: a. Mengkonfigurasi sistem informasi untuk hanya menyediakan kemampuan penting. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| CM-7 (a) | Organisasi: a. Mengkonfigurasi sistem informasi untuk hanya menyediakan kemampuan penting. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| CM-8 (1) | Organisasi memperbarui inventaris komponen sistem informasi sebagai bagian integral dari instalasi komponen, penghapusan, dan pembaruan sistem informasi. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| CM-8 (3) (a) | Organisasi: a. Menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk mendeteksi keberadaan komponen perangkat keras, perangkat lunak, dan firmware yang tidak sah dalam sistem informasi | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| CM-8 (3) (a) | Organisasi: a. Menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk mendeteksi keberadaan komponen perangkat keras, perangkat lunak, dan firmware yang tidak sah dalam sistem informasi | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| CM-8 (3) (a) | Organisasi: a. Menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk mendeteksi keberadaan komponen perangkat keras, perangkat lunak, dan firmware yang tidak sah dalam sistem informasi | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-9 (b) | Organisasi: b. Melakukan pencadangan informasi tingkat sistem yang terkandung dalam sistem informasi [Penugasan: frekuensi yang ditentukan organisasi yang konsisten dengan waktu pemulihan dan tujuan titik pemulihan]. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| CP-10 | Organisasi menyediakan pemulihan dan rekonstitusi sistem informasi ke negara yang diketahui setelah gangguan, kompromi, atau kegagalan. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| IA-2 | Sistem informasi secara unik mengidentifikasi dan mengotentikasi pengguna organisasi (atau proses yang bertindak atas nama pengguna organisasi). | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| IA-2 (1) (11) | (1) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun istimewa. (11) Sistem informasi menerapkan otentikasi multifaktor untuk akses jarak jauh ke akun istimewa dan non-hak istimewa sehingga salah satu faktor disediakan oleh perangkat yang terpisah dari sistem yang mendapatkan akses dan perangkat memenuhi [Penugasan: kekuatan persyaratan mekanisme yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| IA-2 (1) (11) | (1) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun istimewa. (11) Sistem informasi menerapkan otentikasi multifaktor untuk akses jarak jauh ke akun istimewa dan non-hak istimewa sehingga salah satu faktor disediakan oleh perangkat yang terpisah dari sistem yang mendapatkan akses dan perangkat memenuhi [Penugasan: kekuatan persyaratan mekanisme yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| IA-2 (1) (2) (11) | (1) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun istimewa. (2) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun yang tidak memiliki hak istimewa. (11) Sistem informasi menerapkan otentikasi multifaktor untuk akses jarak jauh ke akun istimewa dan non-hak istimewa sehingga salah satu faktor disediakan oleh perangkat yang terpisah dari sistem yang mendapatkan akses dan perangkat memenuhi [Penugasan: kekuatan persyaratan mekanisme yang ditentukan organisasi]. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| IA-2 (1) (2) (11) | (1) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun istimewa. (2) Sistem informasi menerapkan otentikasi multifaktor untuk akses jaringan ke akun yang tidak memiliki hak istimewa. (11) Sistem informasi menerapkan otentikasi multifaktor untuk akses jarak jauh ke akun istimewa dan non-hak istimewa sehingga salah satu faktor disediakan oleh perangkat yang terpisah dari sistem yang mendapatkan akses dan perangkat memenuhi [Penugasan: kekuatan persyaratan mekanisme yang ditentukan organisasi]. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| IA-5 (1) (a) (d) (e) | Sistem informasi, untuk otentikasi berbasis kata sandi: a. Menegakkan kompleksitas kata sandi minimum [Penugasan: persyaratan yang ditentukan organisasi untuk sensitivitas huruf besar, jumlah karakter, campuran huruf besar, huruf kecil, angka, dan karakter khusus, termasuk persyaratan minimum untuk setiap jenis]; d. Menegakkan batasan masa pakai minimum dan maksimum kata sandi [Penugasan: angka yang ditentukan organisasi untuk minimum seumur hidup, maksimum seumur hidup]; e. Melarang penggunaan kembali kata sandi untuk generasi [Penugasan: nomor yang ditentukan organisasi]. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| IA-5 (4) | Organisasi menggunakan alat otomatis untuk menentukan apakah autentikator kata sandi cukup kuat untuk memenuhi [Penugasan: persyaratan yang ditentukan organisasi]. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan Centers for Internet Security (CIS) AWS Foundations Benchmark untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| IA-5 (7) | Organisasi memastikan bahwa autentikator statis yang tidak terenkripsi tidak disematkan dalam aplikasi atau skrip akses atau disimpan pada tombol fungsi. | Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| IR-4 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung proses penanganan insiden. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| IR-4 (1) | Organisasi menggunakan mekanisme otomatis untuk mendukung proses penanganan insiden. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| IR-6 (1) | Organisasi menggunakan mekanisme otomatis untuk membantu pelaporan insiden keamanan. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| IR-7 (1) | Organisasi ini menggunakan mekanisme otomatis untuk meningkatkan ketersediaan informasi dan dukungan terkait respons insiden. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| RA-5 | Organisasi: a. Memindai kerentanan dalam sistem informasi dan aplikasi yang dihosting [Penugasan: frekuensi yang ditentukan organisasi dan/atau secara acak sesuai dengan proses yang ditentukan organisasi] dan ketika kerentanan baru yang berpotensi mempengaruhi sistem/aplikasi diidentifikasi dan dilaporkan; b. Menggunakan alat dan teknik pemindaian kerentanan yang memfasilitasi interoperabilitas antar alat dan mengotomatiskan bagian dari proses manajemen kerentanan dengan menggunakan standar untuk: 1. Mencacah platform, kelemahan perangkat lunak, dan konfigurasi yang tidak tepat; 2. Memformat daftar periksa dan prosedur pengujian; dan 3. Mengukur dampak kerentanan; c. Menganalisis laporan pemindaian kerentanan dan hasil dari penilaian kontrol keamanan; d. Memulihkan kerentanan yang sah [Penugasan: waktu respons yang ditentukan organisasi], sesuai dengan penilaian risiko organisasi; dan e. Membagikan informasi yang diperoleh dari proses pemindaian kerentanan dan penilaian kontrol keamanan dengan [Penugasan: personel atau peran yang ditentukan organisasi] untuk membantu menghilangkan kerentanan serupa dalam sistem informasi lain (yaitu, kelemahan atau kekurangan sistemik). | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| RA-5 | Organisasi: a. Memindai kerentanan dalam sistem informasi dan aplikasi yang dihosting [Penugasan: frekuensi yang ditentukan organisasi dan/atau secara acak sesuai dengan proses yang ditentukan organisasi] dan ketika kerentanan baru yang berpotensi mempengaruhi sistem/aplikasi diidentifikasi dan dilaporkan; b. Menggunakan alat dan teknik pemindaian kerentanan yang memfasilitasi interoperabilitas antar alat dan mengotomatiskan bagian dari proses manajemen kerentanan dengan menggunakan standar untuk: 1. Mencacah platform, kelemahan perangkat lunak, dan konfigurasi yang tidak tepat; 2. Memformat daftar periksa dan prosedur pengujian; dan 3. Mengukur dampak kerentanan; c. Menganalisis laporan pemindaian kerentanan dan hasil dari penilaian kontrol keamanan; d. Memulihkan kerentanan yang sah [Penugasan: waktu respons yang ditentukan organisasi], sesuai dengan penilaian risiko organisasi; dan e. Membagikan informasi yang diperoleh dari proses pemindaian kerentanan dan penilaian kontrol keamanan dengan [Penugasan: personel atau peran yang ditentukan organisasi] untuk membantu menghilangkan kerentanan serupa dalam sistem informasi lain (yaitu, kelemahan atau kekurangan sistemik). | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| SA-3 (a) | Organisasi: a. Mengelola sistem informasi menggunakan [Penugasan: siklus hidup pengembangan sistem yang ditentukan organisasi] yang menggabungkan pertimbangan keamanan informasi. | Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| SA-3 (a) | Organisasi: a. Mengelola sistem informasi menggunakan [Penugasan: siklus hidup pengembangan sistem yang ditentukan organisasi] yang menggabungkan pertimbangan keamanan informasi. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| SA-3 (a) | Organisasi: a. Mengelola sistem informasi menggunakan [Penugasan: siklus hidup pengembangan sistem yang ditentukan organisasi] yang menggabungkan pertimbangan keamanan informasi. | Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub | |
| SA-10 | Organisasi membutuhkan pengembang sistem informasi, komponen sistem, atau layanan sistem informasi untuk: a. Melakukan manajemen konfigurasi selama sistem, komponen, atau layanan [Seleksi (satu atau lebih): desain; pengembangan; implementasi; operasi]; b. Mendokumentasikan, mengelola, dan mengontrol integritas perubahan pada [Penugasan: item konfigurasi yang ditentukan organisasi di bawah manajemen konfigurasi]; c. Menerapkan hanya perubahan yang disetujui organisasi pada sistem, komponen, atau layanan; d. Mendokumentasikan perubahan yang disetujui pada sistem, komponen, atau layanan dan potensi dampak keamanan dari perubahan tersebut; dan e. Lacak kelemahan keamanan dan resolusi cacat dalam sistem, komponen, atau layanan dan laporkan temuan ke [Penugasan: personel yang ditentukan organisasi]. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SA-10 | Organisasi membutuhkan pengembang sistem informasi, komponen sistem, atau layanan sistem informasi untuk: a. Melakukan manajemen konfigurasi selama sistem, komponen, atau layanan [Seleksi (satu atau lebih): desain; pengembangan; implementasi; operasi]; b. Mendokumentasikan, mengelola, dan mengontrol integritas perubahan pada [Penugasan: item konfigurasi yang ditentukan organisasi di bawah manajemen konfigurasi]; c. Menerapkan hanya perubahan yang disetujui organisasi pada sistem, komponen, atau layanan; d. Mendokumentasikan perubahan yang disetujui pada sistem, komponen, atau layanan dan potensi dampak keamanan dari perubahan tersebut; dan e. Lacak kelemahan keamanan dan resolusi cacat dalam sistem, komponen, atau layanan dan laporkan temuan ke [Penugasan: personel yang ditentukan organisasi]. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| SA-10 | Organisasi membutuhkan pengembang sistem informasi, komponen sistem, atau layanan sistem informasi untuk: a. Melakukan manajemen konfigurasi selama sistem, komponen, atau layanan [Seleksi (satu atau lebih): desain; pengembangan; implementasi; operasi]; b. Mendokumentasikan, mengelola, dan mengontrol integritas perubahan pada [Penugasan: item konfigurasi yang ditentukan organisasi di bawah manajemen konfigurasi]; c. Menerapkan hanya perubahan yang disetujui organisasi pada sistem, komponen, atau layanan; d. Mendokumentasikan perubahan yang disetujui pada sistem, komponen, atau layanan dan potensi dampak keamanan dari perubahan tersebut; dan e. Lacak kelemahan keamanan dan resolusi cacat dalam sistem, komponen, atau layanan dan laporkan temuan ke [Penugasan: personel yang ditentukan organisasi]. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SA-10 | Organisasi membutuhkan pengembang sistem informasi, komponen sistem, atau layanan sistem informasi untuk: a. Melakukan manajemen konfigurasi selama sistem, komponen, atau layanan [Seleksi (satu atau lebih): desain; pengembangan; implementasi; operasi]; b. Mendokumentasikan, mengelola, dan mengontrol integritas perubahan pada [Penugasan: item konfigurasi yang ditentukan organisasi di bawah manajemen konfigurasi]; c. Menerapkan hanya perubahan yang disetujui organisasi pada sistem, komponen, atau layanan; d. Mendokumentasikan perubahan yang disetujui pada sistem, komponen, atau layanan dan potensi dampak keamanan dari perubahan tersebut; dan e. Lacak kelemahan keamanan dan resolusi cacat dalam sistem, komponen, atau layanan dan laporkan temuan ke [Penugasan: personel yang ditentukan organisasi]. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| SC-2 | Sistem informasi memisahkan fungsionalitas pengguna (termasuk layanan antarmuka pengguna) dari fungsi manajemen sistem informasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| SC-2 | Sistem informasi memisahkan fungsionalitas pengguna (termasuk layanan antarmuka pengguna) dari fungsi manajemen sistem informasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| SC-4 | Sistem informasi mencegah transfer informasi yang tidak sah dan tidak diinginkan dari sumber daya sistem bersama. | Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| SC-5 | Sistem informasi melindungi terhadap atau membatasi efek dari jenis serangan penolakan layanan berikut: [Penugasan: jenis serangan penolakan layanan yang ditentukan organisasi atau referensi ke sumber untuk informasi tersebut] dengan menggunakan [Penugasan: perlindungan keamanan yang ditentukan organisasi]. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 | Sistem informasi: a. Memantau dan mengendalikan komunikasi di batas eksternal sistem dan pada batas-batas internal utama dalam sistem; b. Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang [Seleksi: secara fisik; logis] terpisah dari jaringan organisasi internal; dan c. Terhubung ke jaringan eksternal atau sistem informasi hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang diatur sesuai dengan arsitektur keamanan organisasi. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| SC-7 (3) | Organisasi membatasi jumlah koneksi jaringan eksternal ke sistem informasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] informasi yang dikirimkan. | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-8 (1) | Sistem informasi menerapkan mekanisme kriptografi untuk [Seleksi (satu atau lebih): mencegah pengungkapan informasi yang tidak sah; mendeteksi perubahan informasi] selama transmisi kecuali dilindungi oleh [Penugasan: perlindungan fisik alternatif yang ditentukan organisasi]. | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| SC-12 | Organisasi menetapkan dan mengelola kunci kriptografi untuk kriptografi yang diperlukan yang digunakan dalam sistem informasi sesuai dengan [Penugasan: persyaratan yang ditentukan organisasi untuk pembuatan kunci, distribusi, penyimpanan, akses, dan penghancuran]. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| SC-12 | Organisasi menetapkan dan mengelola kunci kriptografi untuk kriptografi yang diperlukan yang digunakan dalam sistem informasi sesuai dengan [Penugasan: persyaratan yang ditentukan organisasi untuk pembuatan kunci, distribusi, penyimpanan, akses, dan penghancuran]. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-12 | Organisasi menetapkan dan mengelola kunci kriptografi untuk kriptografi yang diperlukan yang digunakan dalam sistem informasi sesuai dengan [Penugasan: persyaratan yang ditentukan organisasi untuk pembuatan kunci, distribusi, penyimpanan, akses, dan penghancuran]. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan (CMK) yang diperlukan tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi mengimplementasikan [Penugasan: penggunaan kriptografi yang ditentukan organisasi dan jenis kriptografi yang diperlukan untuk setiap penggunaan] sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-13 | Sistem informasi menerapkan kriptografi yang divalidasi FIPS atau disetujui NSA sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, dan standar. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan (CMK) AWS yang dimiliki. | |
| SC-23 | Sistem informasi melindungi keaslian sesi komunikasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-23 | Sistem informasi melindungi keaslian sesi komunikasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-23 | Sistem informasi melindungi keaslian sesi komunikasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan (CMK) yang diperlukan tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-28 | Sistem informasi melindungi [Seleksi (satu atau lebih): kerahasiaan; integritas] dari [Penugasan: informasi yang ditentukan organisasi saat istirahat]. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| SC-36 | Organisasi mendistribusikan [Penugasan: pemrosesan dan penyimpanan yang ditentukan organisasi] di beberapa lokasi fisik. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| SC-36 | Organisasi mendistribusikan [Penugasan: pemrosesan dan penyimpanan yang ditentukan organisasi] di beberapa lokasi fisik. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| SI-2 (2) | Organisasi menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk menentukan keadaan komponen sistem informasi sehubungan dengan remediasi cacat. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| SI-2 (2) | Organisasi menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk menentukan keadaan komponen sistem informasi sehubungan dengan remediasi cacat. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| SI-2 (2) | Organisasi menggunakan mekanisme otomatis [Penugasan: frekuensi yang ditentukan organisasi] untuk menentukan keadaan komponen sistem informasi sehubungan dengan remediasi cacat. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| SI-4 (1) | Organisasi menghubungkan dan mengonfigurasi alat deteksi intrusi individu ke dalam sistem deteksi intrusi di seluruh sistem informasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (2) | Organisasi ini menggunakan alat otomatis untuk mendukung analisis peristiwa yang hampir real-time. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (2) | Organisasi ini menggunakan alat otomatis untuk mendukung analisis peristiwa yang hampir real-time. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SI-4 (2) | Organisasi ini menggunakan alat otomatis untuk mendukung analisis peristiwa yang hampir real-time. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| SI-4 (2) | Organisasi ini menggunakan alat otomatis untuk mendukung analisis peristiwa yang hampir real-time. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| SI-4 (2) | Organisasi ini menggunakan alat otomatis untuk mendukung analisis peristiwa yang hampir real-time. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| SI-4 (4) | Sistem informasi memantau lalu lintas komunikasi masuk dan keluar [Penugasan: frekuensi yang ditentukan organisasi] untuk aktivitas atau kondisi yang tidak biasa atau tidak sah. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (4) | Sistem informasi memantau lalu lintas komunikasi masuk dan keluar [Penugasan: frekuensi yang ditentukan organisasi] untuk aktivitas atau kondisi yang tidak biasa atau tidak sah. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SI-4 (4) | Sistem informasi memantau lalu lintas komunikasi masuk dan keluar [Penugasan: frekuensi yang ditentukan organisasi] untuk aktivitas atau kondisi yang tidak biasa atau tidak sah. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| SI-4 (4) | Sistem informasi memantau lalu lintas komunikasi masuk dan keluar [Penugasan: frekuensi yang ditentukan organisasi] untuk aktivitas atau kondisi yang tidak biasa atau tidak sah. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| SI-4 (5) | Sistem informasi memperingatkan [Penugasan: personel atau peran yang ditentukan organisasi] ketika indikasi kompromi atau potensi kompromi berikut terjadi: [Penugasan: indikator kompromi yang ditentukan organisasi]. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (5) | Sistem informasi memperingatkan [Penugasan: personel atau peran yang ditentukan organisasi] ketika indikasi kompromi atau potensi kompromi berikut terjadi: [Penugasan: indikator kompromi yang ditentukan organisasi]. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SI-4 (5) | Sistem informasi memperingatkan [Penugasan: personel atau peran yang ditentukan organisasi] ketika indikasi kompromi atau potensi kompromi berikut terjadi: [Penugasan: indikator kompromi yang ditentukan organisasi]. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| SI-4 (5) | Sistem informasi memperingatkan [Penugasan: personel atau peran yang ditentukan organisasi] ketika indikasi kompromi atau potensi kompromi berikut terjadi: [Penugasan: indikator kompromi yang ditentukan organisasi]. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| SI-4 (16) | Organisasi mengkorelasikan informasi dari alat pemantauan yang digunakan di seluruh sistem informasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (16) | Organisasi mengkorelasikan informasi dari alat pemantauan yang digunakan di seluruh sistem informasi. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| SI-4 (a) (b) (c) | Organisasi: a. Memantau sistem informasi untuk mendeteksi: 1. Serangan dan indikator serangan potensial sesuai dengan [Penugasan: tujuan pemantauan yang ditentukan organisasi]; dan 2. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah; b. Mengidentifikasi penggunaan sistem informasi yang tidak sah melalui [Penugasan: teknik dan metode yang ditentukan organisasi]; c. Menyebarkan perangkat pemantauan: i. secara strategis dalam sistem informasi untuk mengumpulkan informasi penting yang ditentukan organisasi; dan (ii) di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| SI-7 | Organisasi menggunakan alat verifikasi integritas untuk mendeteksi perubahan yang tidak sah pada [Penugasan: perangkat lunak, firmware, dan informasi yang ditentukan organisasi]. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| SI-7 (1) | Sistem informasi melakukan pemeriksaan integritas [Penugasan: perangkat lunak, firmware, dan informasi yang ditentukan organisasi] [Seleksi (satu atau lebih): saat startup; di [Penugasan: keadaan transisi yang ditentukan organisasi atau peristiwa yang relevan dengan keamanan]; [Penugasan: frekuensi yang ditentukan organisasi]]. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| SI-7 (1) | Sistem informasi melakukan pemeriksaan integritas [Penugasan: perangkat lunak, firmware, dan informasi yang ditentukan organisasi] [Seleksi (satu atau lebih): saat startup; di [Penugasan: keadaan transisi yang ditentukan organisasi atau peristiwa yang relevan dengan keamanan]; [Penugasan: frekuensi yang ditentukan organisasi]]. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| SI-7 (1) | Sistem informasi melakukan pemeriksaan integritas [Penugasan: perangkat lunak, firmware, dan informasi yang ditentukan organisasi] [Seleksi (satu atau lebih): saat startup; di [Penugasan: keadaan transisi yang ditentukan organisasi atau peristiwa yang relevan dengan keamanan]; [Penugasan: frekuensi yang ditentukan organisasi]]. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| SI-12 | Organisasi menangani dan menyimpan informasi dalam sistem informasi dan output informasi dari sistem sesuai dengan hukum federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan persyaratan operasional. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk NIST 800-53
